1 免费版本安装
当前版本:2.1.04
免费版本下载地址:https://portswigger.net/burp/communitydownload
2 专业版安装
专业版比免费版新增功能项:
- Burp Scanner
- 工作空间的保存和恢复
- 拓展工具,如Target Analyzer, Content Discovery和 Task Scheduler
2.1 BurpSuite 1.7.36专业版
2.0版本开始安装包都上百兆,这个版本小巧经典好用,话不多说,开始!
专业版本下载地址:https://download.csdn.net/download/qqchaozai/11869610
- 解压
- 运行【burp-loader-keygen-jas502n.jar】:得到license
- 点击【run】
- 点击【Manual activation】,选择手动赋权
- 两次拷贝后,点击【Next】,成功:
- 汉化:运行【汉化.bat】
PS:干IT的最好尝试去适应英文
3 简单使用
3.1 经典的登陆
- 配置代理:默认代理端口8080
BurpSuite代理配置:
浏览器代理配置:
注意:上图中勾选了【对于本地地址不使用代理服务器】,会导致无法拦截本地服务请求,所以为了测试,要把勾去了!
- 访问目标网站,进行抓包
已DVWA的登陆页为例:使用admin/admin登陆
发现请求信息被抓取,且发现:登陆账号和密码都是明文,可以遍历请求测试
右键选择【Send to Intruder】,进行渗透测试
【Intruder】中修改可变量:§admin§,在【Payloads】中选择密码字典进行测试
结果:全是302,无法确定真实密码
好的,这段尴尬而失败的过程先放一下,用DVWA的爆破例子为案例:
过程同登陆,直接看结果:虽然状态都是200,但是长度有一个是不同的,没错,就是你了,你的密码就是【password】!
3.2 添加SSL代理
官网教程:https://portswigger.net/burp/documentation/desktop/getting-started/proxy-setup/certificate
PS:通过代理地址访问:127.0.0.1:8080,可获取证书
暂时演示到这,后续再更新…
网络安全学习路线
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
或者扫描下方csdn官方合作二维码获取哦!
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
阶段一:基础入门
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完年薪15w+没有问题
阶段二:技术进阶(到了这一步你才算入门)
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容可在文章后方领取。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
或者扫描下方csdn官方合作二维码获取哦!