burp安装
1、java环境:java8
或者去oracle下载
查看是否安装成功:打开cmd
java -version
2、burp安装
burp下载
在burp2.011文件夹,双击运行
再打开burp-loader-keygen 复制代码的内容到对话框,点击下一步
按照图片顺序依次复制、粘贴
burp代理设置
抓包浏览器
谷歌浏览器: 需要安装插件,才能在浏览器中配置代理
1、安装插件Proxy-SwitchyOmega:打开扩展程序
打开开发者模式
选择解压好的Proxy-SwitchyOmega文件夹
在插件中配置代理,如图所示。 浏览器配置完成
2、burp代理设置
3、安装CA证书(抓包HTTPS)
下载证书:访问127.0.0.1:8080
在浏览器中安装:
在受信任的根证书颁发机构导入证书
点击是,就可以抓包https了
抓包手机端
1.burp设置监听本机IP及端口
2.手机设置代理:手机Wifi模块,代理IP地址为电脑端IP,端口为burp设置的端口,证书安装在手机
抓包模拟器
1.模拟器设置锁屏密码:设置 → 安全 → 屏幕锁定方式
2.开启开发者模式: 设置→关于平板电脑→快速点击版本号,直到提示已处于开发者模式
返回设置,进入开发者选项,开启
3.安装证书:
burp导出的证书要.crt格式。.der、.cer都不可以
复制到模拟器的文件,一般在共享文件夹,一般情况下双击安装证书也会失败
勾选要复制或移动的文件,到某目录(需记住,下面要用到)点击右上角的三个点,选择移动或复制
安装证书:设置→安全→从SD卡安装证书。选择证书存放的路径→安装
4.burp代理设置:本机IP地址 、端口
5.模拟器代理设置:设置→wifi→长按
抓包PC软件
透明代理
- 有的软件不支持设置代理
1、本地配置DNS,强制把域名解析为本机IP:编辑 C:\Windows\System32\drivers\etc\hosts
2、勾选透明代理
把域名解析给真正的IP地址
原理:http代理时,只读取第一行,当勾选透明代理时,会读取前两行(host头)
- 没有host头情况
1) 直接设置转发对象即可
配置本地DNS:本机IP对应目标域名
配置端口:目标网站访问端口是多少,这里的代理端口就是多少,如http://example.com:8080
2) 若一个网站调用多个域名,需要配置多个重定向地址
本地创建多个网卡:如使用linux上的子接口:lo启动子接口。
配置DNS(host文件),一个lo子接口对应一个域名
最后添加多个代理IP,并为每个IP配置重定向
问题
1、中文乱码
字体:选择中文的即可
编码:强制选择UTF-8
2、光标偏移
系统的显示器(125%)与burp(100%)不一致,导致光标偏移
在启动脚本上添加参数:-Dsun.java2d.uiScale=1
3、多版本jdk不兼容
- 大多数软件需要java8才能运行,而高版本burp需要java9及以上,怎么保证多版本不冲突呢
如java13(不需要加到环境变量),把burp丢到java13/bin目录下,就能正常启动了
- 有的jdk1.8的软件还是打不开
以Shiro为例,在其jar所在目录创建.bat文件,内容为如下,双击bat文件可正常启动
@echo off
start javaw -noverify -Dfile.encoding=utf-8 -Xmx2048m -jar ShiroExploit.jar
exit
7008
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
