渗透必学神器:BurpSuite教程(超详细)

已于 2023-12-12 11:18:28 修改
阅读量5.7k 收藏 43
点赞数 6
文章标签: 网络 BurpSuite 渗透测试
于 2023-11-13 15:17:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77472496/article/details/134378231
版权

0x00 前言

Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。

从本节开始将为大家陆续带来BP各个模块的使用说明

0x01 中间人攻击

中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。

0x02 核心功能—Proxy

数据是一切的基础

Proxy代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据,Proxy模块如下图所示

Proxy模块由四个部分组成,分别是Intercept、HTTP history、Websockets history、options,接下来分别演示使用

2.1 Intercept

这个词学汇编和逆向的同学肯定是非常熟悉了,就是截断的意思;这里控制整个代理模块是否使用截断模式。

TIPS:在BP新版本中,增加了专用的浏览器方便进行渗透测试

如果是使用低版本的同学,可以在浏览器中手动设置网络代理

手动修改代理设置是一件很繁琐的事,这里推荐大家使用SwitchyOmega插件方便快速的切换代理设置

当截断模式处于关闭状态时,BP可以视为正常的代理服务器

反之,当截断模式处于开启状态下,所有符合条件的数据包都将被拦截等待处理

当拦截到新的数据包后,对应的标题会高亮显示,此时我们就可以对数据包进行修改了

修改完成后点击发送(Forward)将修改后的数据包发送(放包),如果看着数据包不舒服可以点击丢弃(Drop)(弃包)

在行动(Action)一栏中存在很多选项,可以将proxy中的数据包发送至其他模块中

2.2 HTTP history

这里记录了每一个HTTP数据包,可以通过此功能查看历史数据包

点击过滤器可以设置过滤选项

在记录中可以查看每一个数据包的明细(请求和响应),并可以发送到其他模块

2.3 Websockets history

该功能和HTTP history十分类似,实际中很少用到

查看历史数据包

设置过滤器

2.4 options

该部分主要用于配置proxy,接下来逐个演示

代理监听器

可以理解为设置数据的来源,可以开启多个

配置CA证书部分比较繁琐,留以后单独出一期

拦截客户端请求

该部分用于配置请求数据包的拦截条件,支持多条规则同时匹配

现在增加一条规则:拦截所有目标IP为123.123.123.123的数据包

配置了多条规则后可以很方便的选择开关

自动更新Content-Length选项主要用于修改数据包后可以自动计算长度,在一部分情况下需要关闭该功能(比如想DOS)

服务器响应拦截和修改

该部分主要配置响应数据包的拦截条件及自动修改

注意:该功能默认是关闭的,需要手动开启

和请求拦截很类似,允许自定义拦截条件,同时还支持一些常用选项,比如删除JS的表单验证

匹配和替换

该选项允许对请求和响应中的数据进行自动查找和替换,十分有用

黑客技术学习路线

 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

    如果你想要入坑黑客&网络安全工程师,这份282G全网最全的网络安全资料包!

  网络安全大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

​​​
 学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

​​​

网络安全源码合集+工具包

​​

视频教程

​​

 视频配套资料&国内外网安书籍、文档&工具


​​ 因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

黑客/网安大礼包:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!

千·寻
关注
  • 6
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Burp Suite工具详解
2201_75535657的博客
12-22 2249
Burp Suite(简称Burp)是一款Web安全领域的跨平台工具,基于Java开发。它集成了很多用于发现常见Web漏洞的模块,如:Proxy、Spider、Intruder、Repeater等。
burpsuite安装详细教程.zip
03-10
Burp Suite是用于攻击web应用程序的集成平台,包含了许多工具,并为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。以下是一个详细的Burp Suite安装教程: 下载Burp Suite: 首先,你需要从官方网站或其他可信来源下载Burp Suite的安装包。确保下载的是最新版本,以确保软件的安全性和稳定性。 安装Java环境: 由于Burp Suite是由Java语言编写而成,因此在安装Burp Suite之前,你需要先安装Java环境。这通常涉及到下载和安装Java开发工具包(JDK)。 配置Java环境变量:
使用Burpsuite精通Web渗透测试-英文版 非常好
05-20
使用Burpsuite精通Web渗透测试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute attacks and perform web assessments Key Features Use tools in Burp Suite to meet your web infrastructure security demands Configure Burp to fine-tune the suite of tools specific to the target Use Burp extensions to assist with various technologies commonly found in application stacks Book Description Burp Suite is a Java-based platform used for testing the security of your web applications, and has been adopted widely by professional enterprise testers. The Burp Suite Cookbook contains recipes to help you tackle challenges related to determining and exploring vulnerabilities in web applications. The book's first few sections will help you understand how to uncover security flaws with various test cases for complex environments. After you've configured Burp for your environment, you will use Burp tools such as Spider, Scanner, Intruder, Repeater, and Decoder, among others, to resolve specific problems faced by pentesters. You'll also be able to work with Burp's various modes, in addition to performing operations on the web. Toward the concluding chapters, you'll explore recipes that target specific test scenarios and learn how to resolve them using best practices. By the end of this book, you'll be up and running with deploying Burp for securing web applications. What you will learn Configure Burp Suite for your web applications Perform authentication, authorization, business logic, and data validation testing Explore session management and client-side testing Understand unrestricted file uploads and server-side request forgery Execute XML external entity attacks with Burp Perform remote code execution with Burp Who this book is for If you are a security professional, web pentester, or software developer who wants to adopt Burp Suite for application security, this book is for you. Table of Contents Getting Started with Burp Sui
【2024最新版】BurpSuite安装和基础使用教程(已破解),三分钟手把手教会,非常简单
最新发布
2401_84862291的博客
05-17 1145
打不开burp-loader-keygen.jar文件,那我们就需要在cmd中用java打开它,很多博主都没有说到这点 当时我也在这踩雷了。Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。然后我们就开始使用BURP软件了,打开BP,我们选择默认临时文件就可以了,点击next。1、选中“此电脑”,右键选择“属性”。蒙开发知识点,真正体系化!
黑客工具之BurpSuite详解
瓦罗兰特顶级C位的博客
01-11 1585
BurpSuite是用于攻击Web应用程序的集合平台,包含了许多工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。
Burpsuite使用手册中文版全套
02-07
Burpsuite最全模块说明文档,Burpsuite使用手册中文版下载!
抓包神器burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于抓包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
burpsuite入门,实用教程
热门推荐
Pz_mstr's Blog
08-04 9万+
渗透测试综合工具——burpsuite 基本使用详细教程
【2024最新版】详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
Libra1313的博客
01-22 5819
新建扫描对象,这里使用的是爬取与审计测试,下面protocol模块可以设定爬取的条件,即不爬取某些对象,其他按照默认的配置,可以设置自己的UA头设置账户密码访问其他参数扫描结果:更详细可以点击项目的右下角view模块,看到爬取的url信息与扫描结果更详细的模块查看你(Target模块)0x03 New live task 模块的使用第一个模块:来自代理的实时审计(所有流量)第二个模块:从代理(所有流量)动态被动爬行0x04 proxy 模块的使用。
BurpSuite入门及详细使用教程(内附学习笔记)
fly_enum的博客
11-23 2850
Burp Suite是用于攻击web应用程序的集成平台,接下来通过本文给大家介绍Burpsuite入门及使用详细教程,感兴趣的朋友一起看看吧
BurpSuite安装和基础使用教程(已破解)
m0_74914256的博客
02-23 6642
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。 它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。那么我们开始安装教程
burp site1.6
05-20
用于攻击web 应用程序的集成平台,它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
Mutator 将针对从 burpsuite 看到的每个请求运行,例如(代理、转发器、扫描仪)生成许多潜在的 url,每个都附加一个要传递给 Executor 和 Detector 类的有效负载,以检测其中一种检测技术是否成功 该插件使用两种...
Burpsuite详细安装教程(图文版)
04-18
burpsuite安装教程 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。 在渗透测试中,我们使用Burp Suite将使得测试工作变得更加...
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
网络安全工具——Burp Suite抓包工具
p36273的博客
05-18 7737
我这里安装的是Burp2021的破解版请支持正版。
1-8 Burpsuite 漏洞扫描介绍
小司机的奥拓
07-25 988
Burp Scanner的功能主要是用来自动检测web系统的各种漏洞,我们可以使用BurpScanner代替我们手工去对系统进行普通漏洞类型的渗透测试,从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。进一步解放我们的生产力,提高我们的工作效率。
burpsuite 基本原理
weixin_45626840的博客
03-26 1523
burp 基本原理,正向代理原理
burpsuite使用教程详细
11-16
Burp Suite是一款用于攻击Web应用程序的集成平台,它提供了许多有用的工具和功能,可以帮助安全测试人员识别和利用Web应用程序中的漏洞。以下是Burp Suite的使用教程: 1. 下载和安装Burp Suite:可以从官方网站https://portswigger.net/burp/releases下载Burp Suite的最新版本。安装完成后,启动Burp Suite。 2. 配置代理:在Burp Suite中,选择“Proxy”选项卡,然后选择“Options”子选项卡。在这里,您可以配置代理监听端口和其他选项。确保将浏览器的代理设置为Burp Suite的监听端口。 3. 拦截请求和响应:在Burp Suite中,选择“Proxy”选项卡,然后选择“Intercept”子选项卡。在这里,您可以启用或禁用拦截功能,并查看和修改请求和响应。 4. 使用扫描器:在Burp Suite中,选择“Scanner”选项卡,然后选择“Active”或“Passive”子选项卡。在这里,您可以使用自动化工具扫描Web应用程序以查找漏洞。 5. 使用Repeater:在Burp Suite中,选择“Repeater”选项卡。在这里,您可以重复发送请求并查看响应,以便更好地理解Web应用程序的行为。 6. 使用Intruder:在Burp Suite中,选择“Intruder”选项卡。在这里,您可以使用自定义负载和其他选项来自动化攻击Web应用程序。 7. 使用Decoder和Encoder:在Burp Suite中,选择“Decoder”或“Encoder”选项卡。在这里,您可以对请求和响应进行编码和解码,以便更好地理解它们的内容。 8. 使用Extender:在Burp Suite中,选择“Extender”选项卡。在这里,您可以使用自定义插件扩展Burp Suite的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值