burpsuit抓包Python requests请求 https

最新推荐文章于 2023-01-03 17:04:58 发布
最新推荐文章于 2023-01-03 17:04:58 发布
阅读量932 收藏
点赞数
文章标签: python https
原文链接:https://www.th3r3p0.com/random/python-requests-and-burp-suite.html
版权

Home

Python Requests and Burp Suite

Problem: When I am conducting a pentest, I commonly write python scripts to use the requests module and need to proxy them through Burp. I have been using the "Easy way out," but there are problems with doing this and there is a much more efficient way in handling this.

Easy way out: I can proxy requests through Burp Suite fairly easily by creating a proxies dictionary and assigning that dictionary to the proxies argument. I then have to set the verify argument to False because Burp's certificate is not trusted by the requests library's certificate bundle. Example code:

import requests

proxies = {"http": "http://127.0.0.1:8080", "https": "http://127.0.0.1:8080"}

r = requests.get("https://www.google.com/", proxies=proxies, verify=False)

Problem with easy way out: What happens if you have many calls to the requests library and you don't want to set the proxies and verify arguments for each request. Or possibly you have been given a test harness that utilizes the requests library and you don't want to modify each and every call to the library. I have always searched for this answer and only found that I can export two environment variables HTTP_PROXY and HTTPS_PROXY. However, this does not fix the fact that I have to set the verify argument to False on every single request.

Solution: In addition to the HTTP_PROXY and HTTPS_PROXY environment variables, there is also a REQUESTS_CA_BUNDLE which can be set to specify the location of a certificate. However, the documentation is not very clear about the certificate format required. After some basic troubleshooting, I was able to determine the encoding needed for the REQUESTS_CA_BUNDLE file is PEM.

After you have downloaded your certificate from Burp (either through the browser or directly from the application's GUI), it is DER formatted. In order to convert it to the needed PEM encoded format, run the following command:

openssl x509 -inform der -in certificate.cer -out certificate.pem

You are now ready to export your environment variables and use requests with Burp.

export REQUESTS_CA_BUNDLE="/path/to/pem/encoded/cert"
export HTTP_PROXY="http://127.0.0.1:8080"
export HTTPS_PROXY="http://127.0.0.1:8080"

Now all of your HTTP requests made through the requests library without the proxies argument configured will be routed through Burp. In order to remove these environment variables, run the following commands:

unset REQUESTS_CA_BUNDLE
unset HTTP_PROXY
unset HTTPS_PROXY
独木_DZ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用BurpSuite抓取HTTPS网站的数据包
谢公子的博客
12-12 8793
昨天面试,技术官问到了我如何使用BurpSuite抓取https网站的数据包,一时间没能回答上来(尴尬!)。因为以前https网站的数据包我都是用Fiddler抓取的,Fiddlert自动帮我们配置好了证书,所以就没用BurpSuite抓取过,今天特意去学习了下如何使用BurpSuite抓取https网站的数据包。 关于HTTPS协议中证书的认证过程,传送门——>HTTPS协议工作原理(S...
关于http2,pythonburp代理之间的那点事
saltor
03-23 2880
问题 在写python代码的时候,想用burp代理查看网络请求包的内容,发现新版的burp会返回http2,以及pythonrequests库不支持http2协议的问题 软件版本 python 3.9.2 Burp Suite Professional v2021.3.2 思考 requests库不支持http2 用新版本的burp,设置里关掉http2(没找到修改的地方) 用旧版本burp(貌似2020.04后的就有http2) python用httpx库写代码(但以前的脚本都是用requests的,
burpsuit 抓取python request请求
qq_38641816的博客
03-10 3402
proxies = { "http": 'http://127.0.0.1:8080', "https": 'http://127.0.0.1:8080' } requests_request = partial(requests.request, proxies=proxies, verify=False, allow_redirects=False) url="https://www.baidu.com" headers={'User-Agent': 'Mozilla/5.0 (Wind
burpsuite工具抓取Https数据包
weixin_44122303的博客
07-14 4000
burpsuite工具抓取Https数据包
使用burpsuite对python的post请求进行抓包
分享与记录
08-21 3338
目录准备好web环境测试代码测试结果使用burpsuite抓包 准备好web环境 Kali 中已经有 Apache 了,在 /etc 目录下 ls 即可显示出来,所以只需要进行配置就可以了。(这里用其他 Linux 或 Windows 虚拟机都行) 打开 apache 服务的相关命令 /etc/init.d/apache2 start (开启) /etc/init.d/apache2 restart (重启) /etc/init.d/apache2 status (查看状态) 这里在 Kali
python编写工具03_HTTP代理
划水的小白白
03-09 253
代理服务器的设置 前提: 提前打开burp,监听默认的8080端口 结果: 代码: import requests url = "https://www.baidu.com" proxy = {'http':'http://127.0.0.1:8080','https':'https://127.0.0.1:8080'} #设置代理服务器地址以及端口,这里是本地测试所以用的127.0.0.1 r = requests.get(url,proxies = proxy,verify = False)
【fiddler】如何使用fiddler抓取python请求
2024 做自己的太阳
10-16 1万+
使用 Fiddler 可以很容易抓取到从浏览器发出的 http 请求,然而在使用程序模拟 http 请求时,fiddler 抓取不到发送的这些请求,解决方法:就是在程序中添加代理。
Python爬虫基本使用 requests安装 HTTP HTTPS 抓包
最新发布
05-17
爬虫并不是Python独有的 学习爬虫原因 筛选 浏览网站时所能看见的数据都可以通过爬虫程序保存下来 应用场景 数据展示 将爬取的数据展示到网页或者APP上 数据分析 从数据中寻找一些规律 自动化...
python-requests离线包
04-15
本离线包“python-requests”正是为了解决在无网络环境下也能使用这个库的需求。 首先,我们来详细解释一下压缩包中的各个文件: 1. `python-3.7.4-amd64.exe`: 这是Python 3.7.4的安装程序,适用于AMD64架构的...
mac 安装python网络请求requests方法
09-20
今天小编就为大家分享一篇mac 安装python网络请求requests方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
pythonrequestshttps使用简单示例
09-20
主要介绍了pythonrequestshttps使用简单示例,具有一定借鉴价值,需要的朋友可以参考下
python requests模块及依赖包.zip
06-24
Python的`requests`模块是用于发送HTTP请求的强大库,它简化了与Web服务的交互,使得开发者能够方便地获取网页内容、提交表单、下载文件等。本压缩包包含`requests`模块本身及其依赖包,如`certifi`、`chardet`等,...
Python 爬虫接单系列——抓包requests
weixin_45651194的博客
01-03 800
Python 爬虫实战,行走江湖,技多不压身~
python编写脚本结合burp破解密码
qq_29566629的博客
03-01 822
情况说明: 输入账户和密码后,抓包: 可以看到认证那里是base64编码过的,解码得到: 构建爆破内容 前期已经得到的tomcat常用的账户名和密码字典: 编写脚本构造爆破所需的内容: import base64 f=open("com.txt","a") for user1 in open("user"): for pass1 in open("pass"): combine = user1 + ":" + pass1 # 结合后的字符串 base64d =
python操作burprequests插件实现批量化获取flag(webmin漏洞CVE-2019-15107)
a167817的博客
08-24 1060
webmin漏洞CVE-2019-15107 漏洞原理: 使用burpsuit的右键copy as requests burp0_url = "https://192.168.184.128:10000/password_change.cgi" burp0_cookies = {"redirect": "1", "testing": "1", "sid": "x", "se...
Burp Suite http app抓包(改request responce )
02-25 1万+
1、概述Burp Suite 是一个牛逼的工具,好多人用来扫漏洞。我主要是用下其中的抓包功能。拦截发送请求分析接口,拦截接收请求伪造数据。2、破解版下载路径 1.7.11http://download.csdn.net/detail/lckj686/9764008 目录里有两个jar 文件。打开其中的:BurpLoader.jar 文件就可以破解启动。3、简单使用3.1、app抓包环境配置 pc
pythonrequests使用代理proxies
热门推荐
Winterto1990的博客
04-22 24万+
学习网络爬虫难免遇到使用代理的情况,下面介绍一下如何使用requests设置代理: 如果需要使用代理,你可以通过为任意请求方法提供 proxies 参数来配置单个请求: import requests proxies = { "http": "http://10.10.1.10:3128", "https": "http://10.10.1.10:1080", } requests.g
关于用burp抓取python上网信息的使用方法
thislocal的博客
05-24 2001
1、打开burp,监听端口打开,假定为默认的8080 2、python代码: import urllib2 proxy = urllib2.ProxyHandler({'http': '127.0.0.1:8080'}) opener = urllib2.build_opener(proxy) urllib2.install_opener(opener) url = 'http://w
暴力破解用户名与密码(使用burppython
feiniaotjx的博客
09-15 5210
暴力破解用户名与密码 必火网络安全在线靶机 实验地址:基于表单的暴力破解 1.随意输入用户名与密码。 2.用burp抓包。 3.将包发送到intruder,attact type改为cluster bomb,clear清除变量,再用add清除变量,再用add清除变量,再用add添加username和password变量。 4.设置playload,playload类型设为simple list,将用户名字典用load导入,playload set 1为第一个参数,所以再将其设置成2,再导入密码字典 5.
python requests 请求头部
10-08
在使用Pythonrequests库发送请求时,可以通过设置headers参数来添加请求头部信息。请求头部中包含了一些与请求相关的信息,比如User-Agent、Accept-Language等。下面是一个示例代码,演示了如何设置请求头部: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值