等风来

本文详细介绍如何在 macOS 环境下，使用 MuMu 安卓模拟器配合 Burp Suite 完整抓取移动 App 的 HTTP/HTTPS 流量。内容覆盖环境准备、Burp 监听配置、获取并转换 Burp 根证书（DER→PEM）、计算证书哈希并按 Android 要求命名、通过 MuMu 内置 ADB 将证书推送到系统证书目录并调整权限，以及在模拟器中配置 Wi-Fi 代理以将流量导向 Burp。文中同时列出常见故障排查要点，为渗透测试与接口调试提供一套可复现的操作流程。

本专栏介绍了 Burp Suite 的功能与实操入门，目标是带读者从安装到激活，掌握常用的漏洞挖掘工作流程。文中通过大量截图演示安装包解压、运行清除激活脚本（.bat）、执行 step1CN/step2 等步骤、手动激活流程以及将请求/响应串回填以完成激活的全过程。文章结构清晰，步骤按序呈现，每步配有对应截图以便复现。文末提供启动 VBS 文件以启动 Burp Suite 的说明。

1、配置Burp代理为127.0.0.1:80802、扩展商店添加插件switchyomega，修改服务器和端口为下图：3、打开代理，选择刚才添加的代理

在浏览器配置好Burp代理之后，在浏览器进行某种操作（如提交表单、访问资源等）时，Burp Proxy 在浏览器发出的 HTTP 请求到达服务器之前将拦截该请求。在这里，我们可以看到通过 Burp 代理的所有 HTTP 流量的历史记录，即使拦截已关闭（但要确保浏览器已配置Burp代理）。由于浏览器通常发送的请求数量众多，我们通常不希望拦截其中的每一个请求，而是可以通过历史请求来观察分析请求包。按钮几次，可以释放发送拦截的请求以及任何后续请求，直到页面加载到浏览器中。选项卡上看到此拦截的请求。

修改 Burp Proxy 中拦截的请求，可以使我们以网站未预期的方式操纵请求，以查看其响应方式或发现漏洞。可以看到，请求体中有一个名为price的参数，它与商品的价格（以美分为单位）相匹配，同时参数值以明文传输。思路：参数是否在Burp中以明文传递，是否可以修改参数达到1元购、0元购甚至使账户数额增加？操作：在商品信息页面开启浏览器的Burp代理，开启Burp拦截，并点击。再次关闭拦截，以便任何后续请求都可以不间断地通过 Burp 代理。，将修改后的请求发送到服务器。至此，我们实现了近似0元购。

【1】在对一个网站进行合法观察、测试的过程中，加载出的HTTP历史条目是十分繁多的，于是，对请求进行排序、过滤等显得至关重要。【2】通常HTTP条目中包含对多个站点的请求，若我们只想观察某个或某几个主机列表，可以通过以下步骤实现。此后，如果我们继续浏览任何站点，超出范围的流量不再显示在代理历史记录中。（因为已设定了范围）实现HTTP条目的升序或降序，这样我们可以在顶部看到最先或最旧的请求。上图过滤设置中，有多种过滤方式，例如隐藏某文件扩展名的条目等。右键单击目标站点的节点，然后单击。

在研究目标网站对不同输入的响应时，不必每次都拦截请求，否则造成时间浪费，我们可使用 Burp Repeater 模块实现重发。如图，说明Id参数为100的商品不存在。

中已添加一个新任务来表示此扫描。我们可以选择任务以查看有关其状态及其当前正在执行的操作的更多详细信息。Burp Scanner 既可以用作全自动扫描仪，也可以用作增强手动测试工作流程的强大手段。Burp Scanner 开始对输入的 URL 进行爬网。爬网完成后，Burp Scanner 将开始审核漏洞。我们可以在主面板中的。审核漏洞完成后，要想生成漏洞报告，可进行如下步骤。扫描模式旨在尽快提供目标的高级概览。接着按个人需求配置报告选项即可。卡，右键单击条目，然后选择。

选项卡中选择一个参数，Burp 将显示包含该参数的所有 URL 的列表。选择一个 URL 以查看完整的请求和响应。选项卡以查看有关目标的更多信息。并选择一个或多个主机或分支。【2】右键单击并选择。

Burp存在一个功能，可以识别包含不透明数据（例如会话令牌）的消息。的编码格式，它会自动解码数据。如图：如果 Burp 识别。

123456、123等通常为弱口令，在某些环境下若登录框存在提示（如请输入4位工号），故在登录框可爆破用户名；若不存在提示，可添加用户名字典进行爆破。设置两个payload集，其一添加用户名字典，其二添加密码字典。在已知用户名（如ice）的情况下，可通过添加密码字典进行爆破。3、用户名+密码双重爆破。

会话令牌的生成方式必须是不可预测的，可预测的会话令牌可能会使网站遭受会话劫持攻击。2、选择会话 cookie，右键单击它并选择。如下步骤使用Burp分析会话令牌生成。以从 Web 应用程序获取会话令牌。

4、此时一个对话框被打开，其中包含基于所选请求的 HTML。在 HTML 中，编辑要在 PoC 攻击中更改的字段中的值。7、查看浏览器中的响应和 Burp 的 HTTP 历史记录以查看是否发生了所需的操作。思路：是否存在简单的身份验证？使用Burp发现CSRF漏洞的过程如下。

越权方法：使用低权限会话cookie替换高权限请求包中的cookie。案例场景：拥有高权限账户密码。将该请求包发送至重放器。

水平越权漏洞常见于各种类型的应用程序，包括Web应用、移动应用和API等。例如，在一个在线商店应用中，可通过修改URL或者伪造请求参数来访问其他用户的订单信息。水平越权漏洞通常涉及到应用程序在身份验证和授权方面的缺陷。可通过修改请求参数、绕过身份验证或者利用会话管理漏洞等方式来获取其他用户的权限。成功利用水平越权漏洞可能导致严重的安全风险，包括但不限于未经授权的数据访问、信息泄露、账户劫持等。越权方法：使用用户A的cookie替换用户B请求包中的cookie。案例前提：拥有两个平行权限账户。

如图，用户 ID 用于检索相关用户的数据，以呈现帐户页面。思路：进行爆破或修改请求后发包，查看是否存在IDOR越权。程序不存在严格的访问控制，从而实现未授权访问等。操作：遍历ID参数，查看回显。

在某些环境下，我们可以修改 IP 地址，让服务器相信我们属于其本地网络，从而实现与原本无法访问的内部基础设施进行通信。在Burp中可配置匹配和替换规则，当我们使用浏览器请求程序时，这些规则会自动修改我们的请求和响应。这可确保 Burp 向请求附加一个新标头，而不是替换现有标头。，Burp Proxy 现在会将此标头添加到浏览器中发出的每个请求中。那么如何在请求过程实现请求包有关参数的自动替换呢？4、此后即可访问管理页面并实现删除操作。1、在 Burp Suite 中，转到。

某些应用程序依赖客户端提交到服务器的数据进行操作，但用户可以完全控制客户端。典型案例：0元购甚至账户增值等。

证明方法：使用 Burp 监视 Collaborator 服务器以识别是否发生外带交互，从而确定命令是否被执行。异步命令注入漏洞的本质：利用异步执行环境下不等待命令完成的特性，来执行后续的命令。请求包变为下图，点击。

XXE漏洞的原理：攻击者通过注入特殊的XML实体来引用外部资源，比如本地文件系统中的文件。从而读取服务器上的敏感文件。如何发现点击劫持漏洞：Burp主动扫描（步骤与XXE操作相同，不再详述）下面展示如何实现点击劫持。【1】Burp主动扫描。

允许用户输入一个URL，然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证，通过输入。SSRF漏洞：向服务器发送伪造请求即可访问或操作服务器上的资源。，即可获取到内部系统的敏感信息，如管理员页面的内容。故我们可以尝试找到该服务器上存在的路径。以下步骤可证明某站点是否存在SSRF。故可证明该站点存在SSRF。【案例2】外带盲SSRF。

WebSocket表示长期连接，支持双向异步通信。其通常用于实时应用程序（例如聊天和流媒体）或事件驱动功能（例如推送通知）2、目标配置：端口需与目标网站一致，而Burp默认443。WebSocket漏洞可导致SQL注入、XSS等。在漏洞复测时，需将请求包复制到重返模块中，并点击。1、请求包末尾存在两个空行。回到浏览器，发生弹窗。将上图所需请求发送至。

HaE是一个基于BurpSuite Java插件API开发的辅助型框架式插件，旨在实现对HTTP消息的高亮标记和信息提取。该插件通过自定义正则表达式匹配响应报文或请求报文，并对匹配成功的报文进行标记和提取。

在 Oracle 数据库上，每个语句都必须指定一个要选择的表。Oracle 上有一个名为。只有商品名匹配且该商品已发布（released=1），客户端才能回显数据。只有商品名匹配且该商品已发布（released=1），客户端才能回显数据。点击Lifestyle时，页面回显。查询数据库类型及版本（存在一个业务场景如下。

标签中没有进行XSS特殊字符转义，而在。标签进行DOM XSS。但观察蓝框可知，可闭合。该模块对姓名、电子邮件、网站做过滤处理，但评论处存在XSS：

往往是较为复杂且随机的，此时用burp进行爆破来证明未授权访问是不现实的，最好的办法是注册两个，这样即可证明存在该漏洞。由于开启了302跟随跳转，爆破成功后显示的length将不同于爆破失败的length，从而避免了。的用户名密码字典（在这个场景中，实则是对用户名与密码都进行爆破，也称为撞库）注意点：验证码区间为0000~9999，而不是默认最少为1000。场景：验证码为四位数，且十分钟后过期，则此时可能爆破得到验证码。如果进行手工测试，则需把字典进行加密，再重发请求包，较为耗时。

有时我们想将请求包的请求方法或请求体进行修改，这些操作可以由burpsuite完成，以节省时间。如果我们想将其修改为POST且传递POST参数、上传文件，可以按以下步骤

Wappalyzer是一个用于识别网站所使用的技术和工具的浏览器扩展程序。它能够检测出网站所使用的内容管理系统（CMS）、电子商务平台、服务器端编程语言、JavaScript库、分析工具等等。FindSomething 用于快速在网页的html源码或js代码中提取一些有趣的信息，包括可能请求的资源、接口的url，可能请求的ip和域名。

假定以下100个payload中，有20个payload能成功登录，登录成功的响应包含有success关键字，登录失败的响应包含有error关键字。如果我们想要将能够登录成功的所有用户名payload都保存起来

Logger 是一个用于记录网络活动的工具。它记录 Burp Suite 生成的所有 HTTP 流量，用于调查和分析，但特别适用于以下情况1、当 Burp Suite 产生意外结果时，用于调查发生了什么。2、在涉及会话处理时，查看 Burp Suite 发送的详细信息。3、确保长期运行的任务（如后台扫描）仍在运行。4、HTTP历史请求中没有的请求可能会在logger模块中找到。

该窗口上半部分区域为原始的HTTP请求包，下半部分为操作代码，中间部分可以根据场景从下拉框中选择具体操作代码。每次打开并发窗口时，下拉框默认为Last code used，即为上次使用的代码。本篇主要介绍turbo intruder的两种安装方式及使用教程。2、若在BurpSuite中无法直接安装，可手动添加该插件。1、将请求包发送至turbo intruder模块。并发窗口介绍完毕，下面介绍如何实现并发。要实现并发操作，可按照以下步骤。5、通过长度判断是否并发成功。3、在请求包中任意位置添加。

在部分情况下（如本地靶场），当我们需要在Burp中查看、修改本地流量包的时候，按以下三个配置是不能得到本地流量包的。

Autorize是一个旨在帮助渗透测试人员检测授权漏洞的扩展。将低权限用户的cookie提供给扩展程序并使用高权限用户浏览网站，该扩展会自动重复每一个请求与低权限用户的会话并检测授权漏洞；除了授权漏洞之外，还可以在没有任何cookie的情况下重复每一个请求，以检测身份验证漏洞；报告的执行状态如下：绕过！-红色强制执行！-绿色强制执行？？？(请配置强制检测器) -黄色。

本文介绍Burp+Proxifier安装配置，实现微信小程序抓包

该插件会在每次请求时从一个预定义的代理池中选择不同的 IP 地址，将这些代理应用于每一次发出的 HTTP 请求。通过这种方式，在进行爆破或大量请求时，每个请求看起来都来自不同的 IP 地址，从而使攻击者能够避免被检测到来自单一源的可疑行为，成功绕过基于 IP 的限制策略。

可能是通过将密钥和密码组合后加密生成的，并且以硬编码的方式写入代码中。之后，它被拼接到 concat 中，作为认证信息使用。这样一来，后续的请求包无需生成随机的 Cookie，而是直接使用 Authorization: "Basic ".concat{xxx} 来进行身份验证。

在针对目标应用程序的测试中，发现其密码找回功能存在请求加密机制，具体表现为用户通过手机号获取验证码的请求数据包采用了加密传输。

AutoRepeater 通过接收满足特定条件的请求，按照预设的基础替换规则对请求进行处理。在接收到匹配请求后，它首先应用基础替换，然后针对每个定义的替换创建请求副本并应用该替换操作，从而实现对不同参数的修改和请求的重复发送，以此来全面检测 Web 应用的授权情况。1、自动化请求重复：能自动复制、修改并重发 HTTP 请求，避免了手动重复操作的繁琐，大大提高了 Web 应用授权测试的效率。2、灵活参数替换：可灵活改变邮箱地址、账号身份、角色、URL 和 CSRF 令牌等关键参数。

Repeater Strike是一款由 AI 驱动的全新 Burp Suite 插件，旨在自动化挖掘 IDOR 及类似漏洞。通过分析 Repeater 的请求流量，Repeater Strike 可基于你的请求与响应生成智能正则表达式，并将这些正则应用于代理历史记录，从而发现相关问题，助你以极小的代价将单点漏洞拓展为一组可操作的发现。

目标：让手机流量或手机热点下的应用流量通过电脑上的 Burp Suite 代理并被抓取与分析。思路：将手机网络流量路由到电脑上的 Burp 监听端口，并在手机上信任 Burp 的 CA 证书以支持 HTTPS 抓包。下面是具体操作步骤。