📖 前言:Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。
它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描等类似Fiddler和Postman但比其更强大的功能。
🕒 1. 配置Brup Suite
- 使用CMD检查是否配置好Java环境
- 下载好Brup Suite和注册机,注册机可自行前往GitHub获取,仅供个人学习使用!
注: 安装路径不能包含“中文”或者“空格”,否则会报错。
- 双击注册机运行,随后点击
run
注意:此处我用JDK版本是17.0.10,需要选择与之匹配的Brup Suite专业版本(亲测v2024.1.1.6可用),否则Brup Suite版本太高会出现下面无法运行的情况。
- 点击 I Accept
- 复制粘贴下一步
- 选择手动激活
- 将注册机的密码对应软件激活的密码,随后下一步
- 激活成功,关闭注册页面
注:如果需要汉化,可以使用如下注册机,步骤与前述相同
🔎 BurpSuite注册机-带汉化
创建临时项目 → 下一个 → 启动Burp 就打开界面了
🕒 2. 配置代理监听器
BurpProxy使用监听器接收来自浏览器的HTTP请求,接下来需要在浏览器中将BURP的其中一个监听配置为代理服务器。
选择代理 → 代理设置
在Chrome扩展商店上下载插件foxyproxy
,设置代理
简单配置一下,监听本地地址
选择刚刚的配置burp
之后我们在浏览器访问前面的joker靶机IP,就可以在BurpSuite很清晰看到访问记录,由于采用该网页采用HTTP,可以很轻易的捕获到。
反之如果是HTTPS的网页,就无法捕获。那是否意味着无解了呢?其实可以通过下载证书解决。
🕒 3. 下载证书
在Chrome的网址输入127.0.0.1:8080
,点击CA Certificate,下载证书
下载完成后去Chrome设置 → 隐私与安全 → 安全 → 管理证书 → 导入
选择刚刚下载的文件cacert.der
,一路下一步
注意:我们需要安装两次证书,机构如下
重启下Chrome,再次进入百度,发现可以正常打开了,HTTPS请求也能捕获了。
🕒 4. 功能模块简介
- 仪表盘:仪表盘,扫描启动、暂停,用于显示任务、日志信息等
- 目标:设置工作的目标范围(URL),以及报文过滤、报文展示等功能
- 代理:拦截HTTP/s请求的代理服务器,作为web浏览器与服务器的中间人,允许拦截、修改数据流
- 测试器(Intruder):入侵功能,对web应用程序进行攻击,还可以漏洞利用、Web应用程序模糊测试、暴力破解等。
- 重发器(Repeater):通过手动来触发单词HTTP请求,并分析应用程序的响应包
- 带外工具(Collaborator):Burp Collaborator 是 OAST 的产物,它可以帮你实现对响应不可见和异步的一个漏洞检测。
- 定序器(Sequencer):会话模块,用于分析那些不可预知的应用程序会话令牌和重要数据的随机性的工具。
- 解码器:是一个进行手动执行或对应用程序数据者智能解码编码的工具.
- 对比器:对比模块,对数据进行差异化分析
- 插件扩展:可以加载BP拓展模块和第三方代码
- 设置模块:可以设置项目、用户等信息
OK,以上就是本期知识点“Brup Suite平台安装”的知识啦~~ ,感谢友友们的阅读。后续还会继续更新,欢迎持续关注哟📌~
💫如果有错误❌,欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满,可以点点赞👍支持一下哟~
❗ 转载请注明出处
作者:HinsCoder
博客链接:🔎 作者博客主页