2021-8-25:Http(burpsuite改包操作)

最新推荐文章于 2024-04-08 09:27:30 发布
最新推荐文章于 2024-04-08 09:27:30 发布
阅读量1.1k 收藏 8
点赞数 1
分类专栏: 笔记 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huling18/article/details/119917524
版权

Http(burpsuite改包操作)

进入题目通览全部页面,没有可疑点,按照惯例先看源码。开始看源码,开始比较粗心,啥都没看到,后来发现原来在这
在这里插入图片描述然后有两种做法,一种直接在url里面输入就好了,一种是注意属性οnclick=“return false”,所以这时点击是无效的,那我们手动改成true就可以了。注意这里改只改了用户自己的界面,刷新或者其他人登录是无效的。此时点击“氛围”就可以跳转了。
显示
在这里插入图片描述
很明显,是想要我们抓包修改来源。这里先引用csdn上另一个博客的解说图
在这里插入图片描述所以,这个的绕过就是加一个Referer字段即可,burpsuite如下:
在这里插入图片描述
又要求浏览器,接着改User-Agent
在这里插入图片描述还要求本地访问,那再加一个X-Forwarded-For

在这里插入图片描述获取flag

总结下来就是:

  1. 要求从某个页面访问,修改Referer
  2. 要求使用特定浏览器访问,修改User-Agant
  3. 要求从特定IP访问,修改X-Forwarded-For,或者client-ip
  4. 要求从特定国家访问,修改Accept-Language
0h0
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Burpsuite进行抓
悦分享
07-09 1万+
一、建立burpsuite和浏览器的连接1. 打开burpsuite工具,在proxy中的Option下,看到对应的Interface为127.0.0.1:8080。与浏览器代理设置相同端口,保存。2. 在浏览器中的Internet Option中设置相同的IP地址以及端口号。3. 设置好之后,就可以开始抓了。在burpsuite中的Proxy中的Intercept中进行抓。4. 在浏览器中输入自己的用户名Yolanda 相当在浏览器端发送请求这样,burpsuite端就可以抓到浏览器端的请求消息 二、
关于burpsuitehttphttp实验
03-27
提供http实验的源代码,将源代码放进网站的根目录下,然后通过数据的方式成功访问 http实验场景 http实验场景2 http实验场景3
【Burp入门第二十三篇】Burpsuite+SQL注入实现登录绕过等+实战案例
最新发布
等风来
04-08 590
在 Oracle 数据库上,每个语句都必须指定一个要选择的表。Oracle 上有一个名为。只有商品名匹配且该商品已发布(released=1),客户端才能回显数据。只有商品名匹配且该商品已发布(released=1),客户端才能回显数据。点击Lifestyle时,页面回显。查询数据库类型及版本(存在一个业务场景如下。
easyupload及BurpSuite、放
Welcome To Myon'Blog !
12-28 3985
easyupload 文件上传题 用BurpSuite进行简单的抓、放 一句话木马 绕过 getshell
安全测试---burpsuite 、截
weixin_45625252的博客
09-27 6414
安全测试—burpsuite 、截 一、设置代理 (以谷歌浏览器为例) 1、下载安装好burpsuite后(安装自己百度一下,根据步奏安装) 点击run打开软件 点击Proxy ----Options设置 (端口号可以设置8080 也可以设置别的) 2、设置谷歌的代理 设置时 端口号和IP地址需要和burpsuite保持一致 1、点击设置—高级—打开您的计算机代理设置---...
Bursuite简单抓__超详细步骤
swust_fang
01-03 1万+
burpsuitehttp请求, 第一步,设置浏览器代理。设置代理是为了把浏览器的请求代理到某个端口,burpsuite拦截该端口的,解析后放入软件中 我用chrome,其他浏览器类似 打开系统代理界面代理 设置打开代理,我是 win10 ,是这个界面, win7 或者 ie 打开的是浏览器选项,原理一样。 记得点保存!!! 到这里基本浏览器代理就设置完毕了 第二步,打开 burpsu...
burp suite使用(一) ---,截
热门推荐
AI.PLAY
08-06 4万+
感叹一下学习一个新的东西真的好难,网上有些东西如果不讲清楚的话,根本得不到想要的结果,并且错误百出。 接下来我将以一个新手的角度讲述如何使用burp来抓,截。 我采用的是UC浏览器来配合burp的使用。 1.设置浏览器 设置---其他---代理设置 由于UC浏览器采用的是ie的内核,所以会弹出ie浏览器设置代理的窗口。 这时候电脑上的ie浏览器也设
burpsuite 基本原理
weixin_45626840的博客
03-26 1430
burp 基本原理,正向代理原理
burpsuite破解-汉化-使用指导1
08-08
如下图所示就是配置好Java环境了:当以上两部没问题后,就可以开始破解-汉化一系列操作了:破解:打开burp-loader-keygen.jar 复制 Lice
Burp Suite1.6
02-01
Burp Suite 是用于攻击web 应用程序的集成平台。它含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个...
Burp Suite
11-30
Burp Suite 是用于攻击web 应用程序的集成平台,含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、...
开源bbs源码java-android-reversing-challenges:有一些CTF挑战或其他一些有助于提高android倒车技能的
06-07
开源bbs 源码java为代表性的crackme 总结相关知识点。一绪に頑張りましょう...操作apk aapt in sdk build-tools apk 签名 Google signapk hook 框架 xposed hook 框架 frida frida on burp suite Brida DDMS Android D
wssip:用于从客户端捕获,修和发送自定义WebSocket数据的应用程序,反之亦然
05-02
上游代理支持还意味着您可以将HTTP / HTTPS通信转发到您选择的拦截代理(例如Burp Suite或Pappy Proxy),但可以在WSSiP中查看WebSocket通信。 可以在博客文章中找到更多信息。 通过HTTP有一个向外的桥,可以使用您...
burpsuite安全与介绍——抓
weixin_33700350的博客
07-16 1148
一、简介: Burp Suite 是用于攻击web 应用程序的集成平台。它含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。 ...
burpsuit的安装及抓.
2203_75773407的博客
10-29 260
首先安装java,点击红框内文件(如果以前安装过java并没有什么项目的话,建议将原来的java预载干净)如果抓的网站是以https开头的则需要先安装证书才能进行抓(证书的获取可以百度)点击红框,使其为intercept is on(开启状态),然后就可以开始抓了。以火狐浏览器为例,可以先下载一个叫FoxProxy的插件(下载流程可以百度)可以在左边的Raw中直接,点击Send可以获得返回值。点击红框复制到一开始的二号框中,得到三号框的内容,复制。先将一号框的内容复制,再点击run。
安全测试BurpSuite-数据
爱咋咋咋滴
09-13 1277
(3)双击下载的证书进行安装,根据向导,把证书放在“受信任的根证书颁发机构”,能够在证书管理中查看该证书,安装成功。(2) 打开浏览器,访问burp,会出现证书下载界面,点击下载CA Certificate即可。启动浏览器有两种,一种是bp自带chromeiu。点击"forward"将修后的参数发送给浏览器。二、burp suite配置对应的代理。1、浏览器chrome/火狐安装插件。4、抓到数据后,可以修输入参数。另一种使用配置好的浏览器。2、配置对应的代理情景。
初级安全入门——篡数据
weixin_30627341的博客
03-25 892
工具简介 BurpSuite:是一个用于测试 Web 应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。 功能 模块 HTTP代理 它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修在两个方向上通过的原始流量 Scanner 一个 Web 应用程序安全扫描器,用于执行 Web ...
使用BP(burp suite)修HTTP响应消息
yumiweitaozi的博客
03-31 5798
网页输入localhost查看 Intercept is on 拦截信息 发现网页一直在加载 然后使用BP查看拦截到的数据 在action里的do intercept 里点击response to this request 然后点击 就能在网页页面不会跳转到响应后的界面的情况下在 BP里查看页面的响应信息, (如果这里直接点击forward不点击re...
burpsuite流程
09-09
Burp Suite是一款功能强大的自动化测试工具,用于对网络应用程序进行渗透测试和漏洞分析。流程主要括以下几个步骤: 1. 配置代理:首先,需要配置Burp Suite的代理设置,即将浏览器的代理设置为Burp Suite的代理。这样,所有的请求和响应数据都会经过Burp Suite进行拦截和处理。 2. 拦截请求:一旦代理设置完成,Burp Suite会自动拦截所有经过代理的请求。可以在Proxy选项卡中查看拦截的请求数据。 3. 修请求:在拦截的请求数据中,可以对请求进行修。例如,可以修请求参数、URL路径、请求头等内容,以测试目标应用程序的漏洞。 4. 发送请求:修完请求后,可以选择将修后的请求发送给目标应用程序。可以通过点击Proxy选项卡中的Forward按钮来发送请求,或者使用其他功能选项卡中的相应功能来发送请求。 5. 分析响应:Burp Suite还可以拦截和分析目标应用程序的响应。在Intercept选项卡中可以查看和分析拦截的响应数据。 6. 重复操作:可以通过Repeater选项卡来重复进行修请求和发送请求的操作,以便进一步测试和分析目标应用程序的漏洞。 总结起来,Burp Suite的流程括配置代理、拦截请求、修请求、发送请求、分析响应和重复操作等步骤。这个流程可以帮助测试人员更好地发现和利用目标应用程序的漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值