burpsuite怎么用get和post方式进行http请求?单独get或post请求以及两种方式混合请求,超详细演示

最新推荐文章于 2024-05-30 08:48:29 发布
最新推荐文章于 2024-05-30 08:48:29 发布
阅读量2.3k 收藏 18
点赞数 10
分类专栏: hacker 坑题和妙招 文章标签: http 网络协议 网络 burp http请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liKeQing1027520/article/details/135893701
版权

本来笔者也认为有hackbar就能应对所有http请求了,直到昨晚遇到一题要提交复杂参数的,发现hackbar会出现对参数解析错误的情况。。。和好♂homie一番交流后发现使用burp提交参数可以避免,但笔者竟然发现自己不会用burp提交参数。。于是赶紧各种搜索学习了一番,然而搜了半天都没有找到一篇讲的详细点的还是我自己综合好几篇摸索出来的,为了给后生扫清这种小障碍,遂有此篇 

以攻防世界题目get_post为例子,链接:https://adworld.xctf.org.cn/challenges/problem-set-index?id=25 

 

 一,GET请求

①开启代理

 

②刷新页面,完成抓包,右键->【Send to Repeater】,这些是基操了

 

 

③get方式请求,直接在如下图位置加上【?get参数】,这里要提交a=1,所以就填【?a=1】(如果要求多个参数就用&连接,例如:?a=1&b=2&c=3...),填完了点很显眼的橙色按钮【send】进行发包

可以看到页面是有刷新的,出现了第22行的“框框框POST框框框...”,这其实是笔者的burp不知道为啥解析不了中文,原文就是“请再以POST方式随便提交一个名为b,值为2的变量”,如果不放心可以点【Render】呈现网页

 

可以看到这样提交的get参数确实是没什么问题的,

 

 二,POST请求

如果要在burp中单独进行post请求,做法是把请求包中的GET改为POST,并在请求包中间任意一个位置加上下图中红框的这条项目,最后在包末尾直接写上要提交的post参数(不用像get那样先写一个问号),如果有多个参数则用&连接

像下图就是用POST方式提交两个参数的情景(只是这两个参数比较长而已,在hackbar提交这样的参数就会报URL解析错误,这就是为什么要用burp提交的原因

添加项目:Content-Type: application/x-www-form-urlencoded

三,GET和POST混合请求

回到攻防世界这题,现在需要同时提交一个get参数【a=1】和一个post参数【b=2】,做法是:

按照POST的形式,并在URL中对应位置填写get参数,包末尾填写post参数,最最重要的是必须加上这条项目(可以加在包中间的任意位置)——

添加项目:Content-Type: application/x-www-form-urlencoded

如下图所示:(填完参数别忘了点【Send】发包啊我省略步骤了)

额外补一句,如果在【Render】栏目中flag不方便复制的话就切换到【Pretty】栏目,flag都是英文字符的,不存在解析不了的情况

当然最好是换一个能正常解析中文的burp,笔者写完这篇就去换(╯▔皿▔)╯

晴友读钟
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Burp入门第二十六篇】Burpsuite实现请求方式修改+请求体文件选取
等风来
04-08 1004
有时我们想将请求包的请求方法或请求进行修改,这些操作可以由burpsuite完成,以节省时间。如果我们想将其修改为POST且传递POST参数、上传文件,可以按以下步骤
关于burpsuite修改http包的http实验
03-27
当我们在浏览器中配置BurpSuite为代理服务器后,所有的HTTP请求都会经过BurpSuite,这时我们就可以利用其强大的功能进行分析和修改。 在“http实验场景”中,我们可能有三个不同的实验场景: 1. **HTTP实验场景1**...
提交方式由get转post
04-28
一个很简单很实用的将html中的a标签的get提交转换成form的post提交的小插件
渗透测试工具之:BurpSuite_burpsuite渗透测试
m0_59598029的博客
10-11 1026
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
深入探讨POST注入与盲注:Burpsuite实战指南
最新发布
weixin_43822401的博客
05-30 881
Burpsuite是一款集成了多种Web安全测试功能的软件,支持多种操作系统。它能够捕获、分析和修改HTTP请求,是进行SQL注入测试不可或缺的工具。
WEB入门——WEB基础
HasntStartIsOver的博客
05-26 1232
Phpstudy启动的web服务器,默认其其他机器是可以访问的,而我们测试用的网站一般都是有漏洞。所以如果phpstudy直接安装在物理机上,最好限制网站只允许本地访问。一般来说URL的长度不宜过长,所以需要传递的参数比较大,使用POST请求POST相比GET安全一些,因为GET请求的参数直接暴露在URL上。——所以铭感信息不要使用GET参数传递。
Burp Suite发送POST请求的三要素
qq_34233203的博客
10-25 1万+
工具 使用官方Burp Suite社区免费版,开启内置浏览器拦截HTTP请求 一、开头改请求方式 POST /?id=1 HTTP/1.1 把GET改成POST,GET和POST混合请求的统一用POST。 二、中间添加一行参数 Content-Type: application/x-www-form-urlencoded 实际应用中,不写这句话会导致POST请求无效。 三、末尾空一行写POST参数 cmd=print_r(scandir("./")) 根据实际上下文构造参数,以参数
攻防世界get_postburp suite进行get post
kuzemax的博客
04-11 1474
2.请求头, 提交POST请求, 需要比GET请求多提供几个请求头, 其中最重要的一个是 Content-Type: application/x-www-form-urlencoded。3.请求体格式, 请求头和请求体之间有一个请求空行, 也就是一行空内容, 用来分隔请求头和请求体的内容, 如果中间的空行被不小心删掉了或者多了几行空行, 都会出现异常。原文链接:https://blog.csdn.net/wangyuxiang946/article/details/120253414。
get_post 攻防世界 使用burpsuite发送GET、POST请求
热门推荐
Zhuoqian_1的博客
03-07 1万+
题面: 解题思路: 由于题面中要求使用GET方式提交变量,我们可以直接在URL中直接加入/?a=1,表示a参数为1,得到如下页面。 由于目前正在学习burpsuite,所以使用burpsuite来实现一下GET方式提交变量,步骤如下(省略设置代理部分): 1、拦截该浏览器GET请求 2、点击Action,然后Send to repeater,Repeater中有如下请求 3、将请求改为如下,点击Go 4、此时得到 5、使用POST提交方法和GET类似,将GET改为
bp发送post请求
危言
11-11 7971
值得一提的是:除了修改方法为POST以及添加上传信息,还要加上媒体类型信息: Content-Type: application/x-www-form-urlencoded 例题一、Bugku-POST 首先抓包 接下来send to repeater。修改三个部分: 1、GET修改为POST方法 2、加上媒体类型信息:Content-Type: application/x-www-form-urlencoded 3、末尾添加需上传语句:whar=flag 即得flag 例题二、攻防世界-get_pos
BurpSuitePOST请求,Jmeter使用其信息来创建POST请求
u010804417的博客
01-10 2397
BurpSuitePOST请求,Jmeter使用其信息来创建POST请求 从网上找了一张BurpSuite抓到包的图片,如下图所示(第一个红框是原图上就有的,凑合看吧)。 BurpSuite抓到的信息: 第一行(即第二个红框上方的POST …路径 HTTP/1.1):为“请求类型”和“路径信息”。 第二个红框中的内容:对应Jmeter中的HTTP Header Manager中的信息。可直接将红框内的所有内容全部复制,然后在Jmeter的HTTP Header Manager中点击“Add from
如何基于Python + requests实现发送HTTP请求
12-23
这篇文章将详细介绍如何使用Python + `requests`库实现HTTPPOST和GET请求,特别是在接口自动化测试中处理鉴权的情况。 首先,我们要理解HTTP请求的基本概念。HTTP文本传输协议)是应用层协议,用于从Web...
Web应用安全:HTTP协议GET和POST的使用区别文本.docx
06-17
GET和POSTHTTP协议中两种最常用的请求方法,它们各有特点,适用于不同的场景。 GET方法是HTTP中最常用的方法,主要用于获取资源信息。它是安全的,意味着执行GET请求不会改变服务器上的资源状态,只是单纯地获取...
BurpSuite使用说明
07-09
- **切换请求方法**:自动切换请求方法(GET 或 POST),便于测试不同方法下的应用程序行为。 - **改变消息体编码方式**:在不同的编码格式间转换,例如从 URL 编码转为多部分表单数据。 - **复制/粘贴功能**:...
burpsuite抓包GET传参转为POST传参
Sk1y的博客
08-23 7978
GET和POST传参的对比
使用 Burpsuite 进行POST 方式的SQL注入
枫梓林のBlog
04-25 8181
使用 Burpsuite 进行POST 方式的SQL注入 文章目录使用 Burpsuite 进行POST 方式的SQL注入0x01 Burpsuite介绍1.打开浏览器设置代理2.打开 burp suite0x02 POST 方式注入1.打开 Less-11页面0x03 POST 方式的盲注1.POST 方式的布尔型盲注1.1 Less-152.POST 方式的时间盲注0x04 HTTP 头的注入方式1.HTTP 头注入原理2. HTTP User-Agent 注入Less-183.HTTP Referer
sql注入——利用burpsuite进行post注入
weixin_43102772的博客
02-21 8104
实验环境: sqli-labs、firefox、burpsuite 将浏览器代理设置为127.0.0.1 端口设置为8080 burpsuite进行post注入 1.打开Burpsuite代理拦截。 2.打开sqli-labs的Less-11进行登录操作 这里我们可以看到拦截到了登录的账号和密码。 3.点击右键选择send repeater(或者按crtl+r)发送给Repeater。然后打...
burp数据包参数详解
m0_51581045的博客
11-08 2630
写给我好学的徒弟吴doc
使用burpsuite对python的post请求进行抓包
分享与记录
08-21 3404
目录准备好web环境测试代码测试结果使用burpsuite抓包 准备好web环境 Kali 中已经有 Apache 了,在 /etc 目录下 ls 即可显示出来,所以只需要进行配置就可以了。(这里用其他 Linux 或 Windows 虚拟机都行) 打开 apache 服务的相关命令 /etc/init.d/apache2 start (开启) /etc/init.d/apache2 restart (重启) /etc/init.d/apache2 status (查看状态) 这里在 Kali
burpsuitepost请求
11-28
Burp Suite是一款常用的渗透测试工具,其中的Proxy模块可以用来拦截HTTP请求和响应,对请求进行修改和重放。下面是使用Burp Suite进行POST请求的步骤: 1. 打开Burp Suite,点击Proxy选项卡,确保Intercept功能处于拦截状态。 2. 在浏览器中访问需要测试的网站,Burp Suite会自动拦截请求。 3. 在Proxy > Intercept中,可以查看到被拦截的请求,包括请求头、请求体等信息。 4. 修改请求体中的参数,可以直接在请求体中修改,也可以使用Burp Suite提供的参数编辑器进行修改。 5. 点击Forward按钮,将修改后的请求发送给服务器。 6. 查看服务器返回的响应,可以在Proxy > Intercept中查看到响应的详细信息。 如果需要开启内置浏览器拦截HTTP请求,可以按照以下步骤进行: 1. 在Burp Suite中点击User options > Display,将Browser模块的Use Burp Proxy作为系统代理选项打开。 2. 在Browser模块中点击Open Browser,打开内置浏览器。 3. 在内置浏览器中访问需要测试的网站,Burp Suite会自动拦截请求。 4. 操作与上述步骤相同。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值