最近正式接触到网安的内容,发现burp suite配置对于新手来说真的是噩梦一样的存在。正好借这个机会分享一下我安装burp suite的一些心得。
我认为burp的安装并不是难项,真正困难的是JAVA环境配置以及证书文件的获取。那么下面我也打算从JAVA配置开始讲起。
1.JAVA安装的注意事项:
首先并不是版本越高越好。关于版本的问题,可以参考你查找到的证书文件,比如我的证书文件仅支持JAVA11,其他版本JAVA无法打开该jar文件,此外使用16以上的JAVA版本大概率会报错,选择JAVA8或JAVA11是比较容易一遍过的。
如图可见,可以从官网下载JAVA11,这里无论选择exe文件还是压缩包都可以,安装完成之后记住下载地址,这时JAVA环境并没有在电脑上配置,如果打开终端输入JAVA会显示不是本机命令,这个时候需要我们手动配置环境。
右键此电脑,单击属性,在上图页面点击高级系统设置后再点击环境变量。
这里需要在系统变量中新建一个CLASSPATH变量和JAVA_HOME变量,CLASSPATH的值为
.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;
而JAVA_HOME的值就是JAVA的安装地址(不过不推荐装在C盘就是了)
然后点开Path变量,在它的值后面加上
%JAVA_HOME%\bin
这样JAVA的环境就配好了,如果有问题,可以尝试将%JAVA_HOME%\bin移动到Path变量值的最上。打开终端,键入JAVA,如果结果如图,那说明你成功配置了JAVA环境。
输入java -version可以查看当前JAVA版本。
2.安装burp suite并获取资格证。这里最难的其实是找到合适的资源,运行反而相对简单。
首先运行证书文件,如果文件无法打开可以尝试使用终端命令java -jar (安装路径)\BurpLoaderKeygen.jar,之后勾选AUTO,点击run,如果无响应,可以梅开二度,再次利用命令java -javaagent:安装路径\BurpLoaderKeygen.jar -noverify -jar 安装路径e\burpsuite_pro_v2021.8.3.jar打开jar并运行burp。
如图,将licence复制到burp中校验,再将burp生成的Activation Request复制到jar中的对应位置,此时jar会自动生成一个Activation Response,将其拖入burp即可激活。
3.burp抓包的相关操作。
burp抓包建议使用Fire Fox进行,在网络设置中将自动分配代理改为手动输入代理。
输入上图的值,这里的ip代指本机,可以在系统设置中查看。
此外,还需下载一个插件hackbar,下载到本机后,在插件管理点击设置,将附件导入到浏览器上。这样抓包的基本工作就做好了。
默认选项进入burp,选择Proxy,点击intercept is off,使之处于开启状态,再选中要抓包的网站(这里用百度演示)。
在插件中打开FoxyProxy,选中你的ip(这是调到手动代理后的内置插件,不需要下载)
刷新页面,如果页面始终在加载中,那么这个网站就被成功抓包了,抓包内容可以在burp中看到。(这里刷新页面其实是页面向服务器发送请求的操作,只不过请求被我们劫持,才会出现长时间加载的现象)
点击Action,可以将请求转移到Repeater中。
我们抓取的Request在左边,点击send发送请求,即可在Response中生成页面。
这里一定要再选中Render才能看到网站。
这样一来,基于burp的抓包就完成了,我们可以更改Request中的内容来实现改包的目的。
欢迎各位在评论区讨论。