一、Burp Suite模块的使用

最新推荐文章于 2024-02-27 18:41:39 发布
最新推荐文章于 2024-02-27 18:41:39 发布
阅读量330 收藏
点赞数
分类专栏: web 渗透 文章标签: web 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_java_cl/article/details/103813589
版权
渗透 同时被 2 个专栏收录
10 篇文章 2 订阅
订阅专栏
web
4 篇文章 0 订阅
订阅专栏

实验报告

Burp 模块

实验环境:使用BurpUnlimited(Burp Suite)工具

实验要求和目的:Burp 8个模块的使用实列,练习渗透测试。

实验步骤:

  1. Proxy  监听代理模块 与其他模块配合使用

Burp 代理

浏览器代理:火狐浏览器代理、谷歌浏览器代理

证书,访问https 时需要证书,可以在burp 添加,火狐浏览器单独添加证书。

    2.Repeater重放

3.  Intruder 爆破

3.1、密码爆破

爆破

4.Target 站点模块

Target  —》site map 站点地图 (只要从bp经过的流量 都会在此显示)

       —》 Target Scope 目标域设置

在横条处可以过滤想要看到的。

将需要操作的网站 添加到 scope

现在需要对这个网站往下爬,需要用到Spider 爬虫模块。

 

5.Spider 爬虫模块

爬虫是根据连接找页面,还有可能爬的连接不全, 需要手动和bp工具一起用。

使用 DVWA-master当作爬虫目标 (是个靶场工具)

下载解压到phpStudy 的 www目录下,打开config文件。复制 .dist 文件并重命名为config.inc.php  。 打开此文件,将修改数据库用户名和密码(之前设置的用户名和密码都是root)。

打开浏览器,输入http://localhost 选择解压的DVWA ,可弹出登录界面,输入

用户名  admin   密码 password  。即可进入。

开启代理抓包 (拦不拦截都可以)

已经有一部分,不全,开启爬虫。

进入Spider  Options  登录选择最后一项自动选择,输入用户名 admin 密码password

将需要操作网站发送到 scope。

使用爬虫。

查看爬到的内容,还是不全,

这时需要手动去浏览器 dvma  左侧框按个点击,爬到的会增加。

 

6.Scanner 扫描

扫描

激活扫描   默认是不扫描

 

扫小点的

 

查看扫描

导出xml格式报告到桌面,双击打开,可看到 报告内容。

7.Comparer  比较模块

从浏览器 dvwa中输入传的信息

代理 拦截 抓包

Go 一下  将右侧的内容复制到 Comparer  比较模块,paste粘贴。这时第1条。

将内容复制到文本内 删除内容后 在复制到 Comparer  比较模块。这时第2条。

此时点击 words 比较。可明显看出删除部分。

 

 

 

 

。。hehe。。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burpsuit安装及实战教程 -kali/渗透测试/网络安全/信息安全
09-29
你将收获       课程以Kali系统中的常见渗透测试工具及分类为基础,讲解超过50+款渗透测试工具的介绍,基本涵盖了渗透测试中百分之80常见工具的使用。让小白测试人员在面对一个web系统和内网系统时有一个基本的思路,方便后续深入学习web渗透和内网渗透。适用人群       IT从业者、信息安全爱好者、互联网运维等课程介绍     1)Burpsuit工具安装和基本的配置     2)Burpsuit工具抓取Https数据包     3)Burpsuit工具修改数据包实现0元支付     4)Burpsuit工具爆破登录密码     5)Burpsuit工具爆破登录密码-验证码绕过(上)     6)Burpsuit工具爆破登录密码-验证码绕过(下)     7)Burpsuit工具爆破登录密码-token绕过
BurpSuit中的两个实验
qq_45747465的博客
08-09 179
BurpSuit两个实验
Burp Suite抓包微信小程序、网页数据实践
爱发梦的小赤佬的博客
10-21 3128
上一个章节记录了破解版的Burp Suite的安装与环境配置,这章节记录一下使用Burp Suite实操抓包微信小程序与网页的数据信息。想了解如何安装配置Burp Suite,可以看一下我上一个章节的文章。
Burp Suite常用模块介绍
最新发布
mashiro_hibiki的博客
02-27 881
Proxy即为代理,在代理模块中可以配置代理的监听网卡和端口,在正确配置完成后,我们的流量才会经过burp,从下图可以直观的看出配置代理前后的流量走向。Intruder模块多用于做爆破、遍历或是Fuzz这种需要修改数据包中某个字段的重复性操作。Repeater模块直译过来就是重复的意思,再该模块中可以不断的修改数据包的数据并重新发包。在该模块中可以对字符进行编码或解码的操作。
tomcat基于burpsuit的弱命令爆破和基于vulhub的漏洞复现实验
weixin_45861316的博客
06-13 556
tomcat基于burpsuit的弱命令爆破和基于vulhub的漏洞复现实验 信息安全课实验报告,错误之处望大佬们多多指正。 实验一:Tomcat弱命令爆破实验 不知道爆破了别人的密码会不会违法,为避免不必要的麻烦,所以这里先抓的本机上tomcat的包。 1.下载burpsuit,进行抓包(刚开始不知道·kali自带了burpsuit,自己下了一个破解版的)。此处一定要开网络代理!!!不只是本机的,火狐浏览器上的也要设置成代理模式,否则抓不到包。抓到包之后一定要放包,这样才能连得通网络,因为开的是代理模式,
渗透工具--Burp Suite常用功能使用方法总结
weixin_54787369的博客
11-24 8078
Burpsuite神奇常用功能使用方法总结 Burpsuite介绍: 一款可以进行再WEB应用程序的集成攻击测试平台。(抓https要在浏览器中导入证书) 1、学习Proxy 首先看标红,intercept is on 为拦截状态 其对应的intercept is off 为非拦截状态,设置完代理后打开拦截状态,浏览器发起的请求会被burpsuite所拦截 forward: 进行请求后被拦截,点击forward可以继续此次请求,如果你点击drop则丢弃此请求数据。继续请求后能够看到返回结果 可以在消
web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一
Eason_LYC安全白帽子的成长博客
09-05 5552
说起WEB安全,无论是攻击方还是防守方,都离不开抓包。那什么是抓包呢?简单说来,就是在web交互中,不同服务端、客户端、主机间都是以一个个数据包方式发送和接收,再根据内容进行响应,完成交互和信息传递。以上的交互流程,对正常使用者来说是不可见的。但我们作为安全技术人员怎么能够是正常使用者呢。所以需要使用专门的工具对这个流程可视化,了解目标系统是如何交互?业务开发的逻辑是怎么构建?众多组件和框架是什么?同时我们对数据包可以进行拦截、修改测试、甚至伪造、篡改等,来达到特定目的。
基于实战的Burp Suite插件使用Tips
网安君的博客
01-17 4670
基于实战的Burp Suite插件使用技巧 本篇文章首发于奇安信攻防社区 0×00前言 ​ Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite使用,也使得渗透测试工作变得轻松和高效。 Burp Suite可执行程序是java文件类型的jar文件,免费版的可以从免费版下载地址
burpsuite 实战指南
whatday的专栏
04-19 3688
第一章 Burp Suite 安装和环境配置 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite使用,也使得渗透测试工作变得轻松和高效。 Burp Suite是由Ja...
BurpSuit在不同浏览器中配置代理
北冥同学的成长记录笔记
04-28 8165
文章通过分享各大浏览器如何设置代理的知识,帮助初学者快速掌握代理配置相关技能。
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
burpsuite新版的Spider模块Content discovery功能详解和实操.doc
03-20
burpsuite新版的Spider模块Content discovery功能详解和实操
Burpsuite使用手册中文版全套
02-07
Burpsuite最全模块说明文档,Burpsuite使用手册中文版下载!
BurpSuite使用说明
05-06
BurpSuite是一款信息安全从业人员必备的集成型的渗透测试神器,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web...
Burp Suite使用介绍.pdf
07-19
Burp Suite使用操作文档;Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
Burp Suite设置浏览器代理
weixin_52151447的博客
11-25 1万+
burp设置代理 代理方法一:浏览器普通代理,监听系统中所有的数据包; 1、打开谷歌浏览器设置,在搜索“代理”,点击,设置代理,设置使用代理服务器,地址选择127.0.0.1端口为8080; 2、打开burp--Proxy--Options,查看设置是否监听了本地8080端口; ...
BurpSuite-代理和浏览器设置
热门推荐
elmoyan的博客
09-15 1万+
BurpSuite代理和浏览器设置
BurpSuite Proxy 给代理设置上层代理
0of_blog
07-15 9216
正常情况而言,使用BurpSuite时数据包的经过流程为浏览器/BurpSuiteRepeater/Intruder…>BurpSuiteProxy>目标服务器这个时候其实还是本机发出的流量,我们想让流量由其他的代理服务器发出,也就是达到如下效果浏览器/BurpSuite…>BurpSuiteProxy>自定义代理服务器>目标服务器。.........
Burp模块
a987329381的博客
05-28 222
3.pitchfork模式:每个变量对应一个字典,比如username和password,依次取其对应的字典中的一条数据对相应变量进行替换,如果两个字典条数不一样,那么一共会执行条数较少的那么多次,即不会交叉替换,只会按每个字典的顺序进行替换。Raw:这个是数据的主要视图格式,它里面包含了HTTP请求的方法,地址,协议版本,请求头,等信息,如果是POST请求的话,在请求头的下面应该还会有请求的实体内容。
burpsuite模块介绍
07-27
Burp Suite是一个用于攻击Web应用程序的集成平台,包含多个模块。其中常用的模块有: 1. Dashboard(仪表盘):用于显示任务和日志信息。 2. Target(目标):提供显示目标目录结构的功能,包括Sitemap(站点地图)和Scope(范围)。 3. Proxy(代理):作为Web浏览器与服务器的中间人,拦截HTTP/s请求的代理服务器。它包括Intercept(拦截)、HTTP history(历史记录)和Options(选项)等功能。 4. Spider(抓取):用于自动抓取目标站点的功能,包括Control(控制)和Options(选项)。 5. Scanner(扫描器):用于主动扫描目标站点的漏洞,包括Issue actively(主动发现漏洞)、Scan queue(扫描队列)、Live scanning(实时扫描)、Issue definitions(漏洞定义)和Options(选项)等功能。 6. Intruder(入侵):提供高精度的可配置工具,用于爆破攻击、获取信息以及使用fuzzing技术探测漏洞等。包括Attack Target(攻击目标)、Positions(位置)和Payloads(有效载荷)等功能。 7. Repeater(中继器):通过手动触发单个HTTP请求,并分析应用程序的响应包。 8. Sequencer(定续器):用于分析不可预知的应用程序会话令牌和重要数据的随机性。 9. Decoder(解码器):用于解码加密或编码的数据。 10. Comparer(比较器):用于对比数据进行差异化分析。 11. Extender(拓展器):可以加载Burp Suite的拓展模块和第三方代码。 以上是Burp Suite的一些常用模块介绍。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Burp suite 常用模块详解](https://blog.csdn.net/qq_45590334/article/details/119737364)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [burpsuite模块详解](https://blog.csdn.net/c_programj/article/details/116427142)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值