the holes of burp's proxy

最新推荐文章于 2024-01-31 23:39:44 发布
最新推荐文章于 2024-01-31 23:39:44 发布
阅读量638 收藏
点赞数
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LZHPIG/article/details/104323780
版权

兵无常势,水无常形,能因敌而致胜者,谓之神

前言

Burp 主要可以代理 HTTP/HTTPS 的流量,在应用没安装证书的情况下只能代理 HTTP 的流量。下面总结下 Burpsuite 如何代理同一个局域网下物理机的流量和如何代理 HTTPS 的流量。

代理 HTTPS

1. 前言

HTTP 是超文本传输协议,它是万维网使用的底层协议,如传输 HTML 文档的应用层,HTTP 协议主要用于Web 浏览器和 Web 服务器之间的通信。
HTTP 被称为无状态协议,因为每个命令都是独立执行的,不需要知道它之前的命令,这也时无法实现对用户输入做出智能反应网站的主要原因。
HTTPS 是 HTTP 的安全版本,实现浏览器和网站之间的通信,并且由传输层安全性(TLS)或其前身安全套接字(SSL)进行加密。

2.代理 HTTP

在没安装证书之前,Burpsuite 可以代理诸如 QQ,4399网站 等使用 HTTP 协议传输的流量。
在这里插入图片描述
但是代理不了百度等使用 HTTPS 传输的流量。(现在大多数应用和网站都使用 HTTPS 传输),在浏览器页面的错误提示中由如下一个 PortSwigger CA ,这个其实是 Burpsuite 的一个证书,由于该浏览器的安全设置中没有安装该证书,所以会报错。
在这里插入图片描述

3. 下载 PortSwigger CA

前面提及 HTTPS = HTTP+SSL, 而 PortSwigger CA 就是应用于 SSL 层的证书,有了 SSL 证书由以下作用:

数据加密:信息加密,保护隐私数据不被泄露、窃取
身份认证:证实企业真实信息,防止钓鱼网站、流量劫持和中间人攻击
绿色安全锁,消除不安全信息:浏览器展示绿色安全锁,消除主流浏览器对 HTTP 协议提示“不安全”标记

获取 PortSwigger CA 有以下两种方法

① 访问 http://burp

访问 http://burp 的前提是 Burpsuite 和浏览器同时开启代理,(127.0.0.1:8080)
在这里插入图片描述

② Burpsuite 导出证书

  1. Burpsuite 的 Proxy – Options – Import/export CA certificate
    在这里插入图片描述
  2. 选择第一个
    在这里插入图片描述
  3. 随便命名,后缀名是 .der
    在这里插入图片描述
  4. 导出之后的 CA 证书保存在 Burpsuite 的同级目录下
    在这里插入图片描述

4. 安装 PortSwigger CA

  1. Firefox 设置 – 隐私和安全(肯定在安全或高级这里)-- 查看证书
    在这里插入图片描述
    在这里插入图片描述
  2. 导入的时候要编辑信任,不然还是没法访问 HTTPS 的流量
    在这里插入图片描述
  3. 接下来访问百度等网站就可以了。
    在这里插入图片描述

代理同一局域网下流量

1. 同一局域网下的 PC

使用在虚拟机 Win7 里面的 Burpsuite 代理本地 Win10 的 Firefox 的流量

虚拟机 Win 7 (Burpsuite)
本地物理机 Win 10

  1. Win 10 的 Firefox 代理设置
    在这里插入图片描述
  2. Burpsuite 的代理设置
    在这里插入图片描述

2. 同一局域网下的手机

① 环境准备

PC ( Win10 有 Burpsuite)
手机
要求 PC 端和手机的网络处于同一个局域网

② Burpsuite 代理设置

在这里插入图片描述

③ 手机代理设置

  1. 找到手机连接着的和PC同一个局域网下的热点,长按,在弹出菜单栏中选择修改网络。
    在这里插入图片描述
  2. 勾选高级选项,代理选择手动,填写 Win10 的 IP 和代理的端口
    在这里插入图片描述

④ 代理

  1. 此时已经可以代理 HTTP 流量了,打开手机端的 QQ 应用
    在这里插入图片描述

  2. 如果要代理 HTTPS 的流量,还需给手机安装 Burpsuite 的证书
    ① 下载 CA 证书
    同样可以在手机的浏览器访问 http://burp 下载证书,如果不使用此方法,可以在 Win10 的 Burpsuite 导出 CA 证书,再发送给手机。(ps:不同物理机下的 Burpsuite 的 CA 证书不一样)
    ② 安装 CA 证书
    ps:注意这里的凭据用途选择 WLAN
    在这里插入图片描述

  3. 安装之后的证书可以在手机设置 – 安全与隐私 – 受信任的凭据 里面看到
    在这里插入图片描述
    在这里插入图片描述

  4. 安装之后可以截取 HTTPS 的流量了
    访问百度,一开始访问会有以下的弹窗,选择继续访问。
    在这里插入图片描述
    在这里插入图片描述

                                                                                                       猪头
                                                                                                2020.2.15
z_hunter
关注
专栏目录
火狐浏览器&burpsuite抓取app&https数据包配置指南
weixin_44320747的博客
11-27 4373
正在上传…重新上传取消。
Influence on photonic crystal fiber dispersion of the size of air holes in different rings within the cladding
02-12
The influence on photonic crystal fiber dispersion of the size of air holes in different rings within the cladding is investigated using a semivectorial finite difference method. Numerical results ...
burpsuite安装HTTPS证书
剁椒鱼头没剁椒的博客
01-11 1万+
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。
Burp Suite未连接:有潜在的安全问题 PortSwigger CA 造成
algae
08-07 1万+
好久没用burpsuite,证书好像过期了?? 未连接:有潜在的安全问题 new.bugku.com 很像是一个安全(连接加密)的网站,但我们未能与它建立安全连接。这个问题是由 PortSwigger CA 所造成,它是您的计算机或您所在网络中的软件。 您可以做什么? new.bugku.com 启用了被称为 HTTP 严格传输安全(HSTS)的安全策略,Firefox 只能与其建立安全连接。您无法为此网站添加例外,以访问此网站。 如果您的防病毒软件包含扫描加密连接的功能(名称通常为“We
BurpSuite抓https的包/BurpSuite CA证书下载
热门推荐
阿尔卑斯的畅想博客
08-06 4万+
BurpSuite抓https的包/BurpSuite CA证书下载 Burp Suite要抓HTTPS的包的话,是需要有Burp Suite的CA证书的 为什么要证书这里就不说了,下面是具体步骤 1.首先要把Burp Suite的CA证书下载到本地 Burp Suite软件是自带了CA证书的,我总结了一下有两种方法把CA证书下载到本地 (1)网上大多数的方法,【通过...
导入证书burpsuit CA及其使用
Gunther的博客
08-20 3440
1.下一个google扩展程序: 2.这个http://burp网站不稳定上不了听说是本地的不知道,反正当时是运气开switchOmega刷一下进去了,下载完之后刷就又挂了。 3.安装吧 选第二个吧。 最后的结果gg,证书不行啊,百度上不了还是屏蔽,
Large mode area and nearly zero flattened dispersion photonic crystal fiber by diminishing the pitch of the innermost air-holes-ring
02-05
In this study, we propose that by diminishing only the pitch of the innermost air-holes-ring of a HF1 photonic crystal fiber, both an effective mode area up to 100 μm2 at 1.55 μm wavelength and ...
Role of f illing medium of holes in the transmission and negative refractive index of metal–dielectric–metal sandwiched metamaterials
02-08
The transmission and negative refractive index (NRI) of metal–dielectric–metal sandwiched metamaterials perforated with different filling media of holes are numerically studied. Results indicate ...
Generation of Reactive Oxygen Species, Electrons/Holes, and Photocatalytic Degradation of Rhodamine B by Photoexcited CdS and Ag2S Micro-Nano Structures
02-10
Generation of Reactive Oxygen Species, Electrons/Holes, and Photocatalytic Degradation of Rhodamine B by Photoexcited CdS and Ag2S Micro-Nano Structures
Laser peening of aluminum alloy 7050 with fastener holes
02-10
The fatigue properties of laser peened aluminum alloy 7050 specimens with fastener holes were investigated. The surface profile and residual stress induced in the shock affected zone were ...
目录遍历 | PortSwiggerburpsuite官方靶场)
bin789456的博客
03-27 1890
写在前面 官方链接:https://portswigger.net/web-security/file-path-traversal 在解释知识点时,一部分对官方解释进行了引用,另一部分对具体解题加入了自己的想法,注意甄别。那么,开始吧。 考虑一个显示待售商品图像的购物应用程序。图像通过一些 HTML 加载,如下所示: <img src="/loadImage?filename=218.png"> loadImageURL 接受一个参数并返回指定文件 的filename内容。图像文件本身存储在
PortSwigger web实验室(BurpSuit官方靶场)之文件上传漏洞
最新发布
weixin_60677557的博客
01-31 2001
文件上传漏洞是指Web服务器允许用户将文件上传到其文件系统,而无需充分验证其名称,类型,内容或大小等内容。如果没有适当地执行这些限制,可能意味着即使是基本的图像上传功能也可以用来上传任意和潜在危险的文件。这甚至可以包括支持远程代码执行的服务器端脚本文件。在某些情况下,上传文件的行为本身就足以造成损害。其他攻击可能涉及对文件的后续HTTP请求,通常是为了触发服务器执行该文件。
安装burp证书
vcdy
07-24 1万+
  一、建立证书   保存 证书就建立完成了  二、安装证书 打开证书 选择受信任的根证书颁发机构 完成 三、验证 访问前 访问后  ...
burpsuite https无法抓取问题__超详细步骤
swust_fang
01-03 6781
burpsuite 直接抓 https 包是抓不到的,会显示如下页面,burpsuite 里面也没有抓包信息。因为通常情况下 burpsuite 只抓 http 包,https 需要证书才能正常抓取。 设置浏览器代理后 这里 访问 http://burp/,下载证书。因为证书是 .der 格式的,不能直接导入 burpsuite 里面,可以通过浏览器里面操作进行转换一下。 导入证书 选择证...
求助:火狐浏览器使用 本地代理后无法连接网络的解决方法
冰点的博客
05-15 2723
一、问题描述:直接打开火狐浏览器浏览网页正常,使用火狐代理插件foxyProxy使用本地127.0.0.1后,网页出现下面的提示:当前浏览器网络和系统网络的设置情况如下:火狐浏览器版本:根据网络上提供的解决方案,无法排除故障,希望看到的朋友帮忙解决一下,不甚感谢! ...
Burp Suite拦截HTTPS请求
fendo
01-15 3万+
一、简介 在使用Burp site对HTTPS进行拦截时他会提示 二、配置
深入linux内核架构--内存管理(简介)
jinking01的专栏
03-12 2005
前言   内存管理其实是一个很基本的概念,但是真正能把linux内存管理梳理清楚的人很少,也看过网上很多关于内存管理的文章,但是总感觉他们其实也是照搬的一些概念,都不是很系统,看起来冰山一角,似懂非懂。那么今天就系统的结合linux源码来记录一下内存管理,希望能形成一套完整体系,对Linux内存有一个完整的了解。(文章后续的很多内存数字举例都是基于4GB物理内存大小的系统)。   关于内存管理一...
What will happen after the contact of p and n type semiconductors?
04-21
After the contact of p and n type semiconductors, electrons from the n-type side will diffuse to the p-type side, and holes from the p-type side will diffuse to the n-type side. This creates a region ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值