Burpsuite 中的宏使用

于 2025-03-15 14:13:49 发布
阅读量561 收藏 7
点赞数 12
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65256346/article/details/146275189
版权

一、Burpsuite 宏简介

1.什么是宏

在Burpsuite 中 宏指的是将选定的一系列的数据包按序自动化请求。
举例:
登录界面的自动填充,自动完成登陆操作。

1. 宏的组成

宏本身,以及宏的规则。

2.使用场景

  • 自动重新登录
  • 动态参数填充(token,验证码)
  • 绕过防御机制(自动执行额外的请求,保持会话活跃)

3.使用流程(简述)

  1. 捕获http请求。
  2. 提取动态参数。
  3. 将提取的数据填充到后续请求中。
  4. 自动执行宏,保证后续请求

二、宏的创建

  1. 找到Session模块,新版本在设置里面搜索Session。
    在这里插入图片描述
  2. 点击add可弹出宏的录制器(红色部分,为我自己添加的颜色,只是为了标识作用,有无都可以)
    在这里插入图片描述
  3. 点击录制器的ok,跳转到编辑器。
    在这里插入图片描述
  4. 点击Configure item
    Configure item的作用:修改,提取变量,调整顺序的。
  • Cookie 处理
  • “Add cookies received in responses to the session handling cookie jar”:勾选此项后,从服务器响应中接收到的 Cookie 会被添加到会话处理的 Cookie 存储中。这有助于在后续请求中维持会话状态。
  • “Use cookies from the session handling cookie jar in requests”:勾选后,在发送请求时,工具会从会话处理的 Cookie 存储中获取 Cookie 并添加到请求中,保证会话连续性。
    参数处理
  • username:选择了 “Use preset value”(使用预设值),当前预设值为 “wiener”。在发送请求时,用户名参数会固定使用这个值。
  • password:同样选择 “Use preset value”,预设值为 “peter” ,即密码参数会使用该固定值。

在这里插入图片描述

中文翻译
在这里插入图片描述

  1. 这里就添加完宏了,接下来为宏的使用
    Session handing rules 会话处理规则:
    用于定义 Burp Suite 发送 HTTP 请求时执行的特定操作。每条规则包含作用范围(指定工具、URL 或参数),支持添加会话 Cookie、应用登录、检查会话有效性等操作。发送请求前,Burp 会按顺序应用匹配当前请求范围的规则,以此管理活动会话。
    在这里插入图片描述
  2. 使用规则
  • Rule description 规则描述
  • Rule actions 规则的动作管理(调整顺序,启用禁用)
    在这里插入图片描述
  1. 规则范围编辑器
  • Tools scope :规则适用的功能模块,使用哪个模块会自动触发
  • URL scope :规则使用的url范围
  • Parameter scope:只能应用在特定参数的请求

在这里插入图片描述
以上大致就是session每个按钮的大体作用了。

三、宏的使用

可以在Intruder模块使用了,intruder资源池使用。
在这里插入图片描述
这里最主要的是设置并发,只让它发一个。
maximum concurrent requests: 1

四、修正日期

2025/3/15

道无意
关注
网安知识系列:用Burp Suite 自动化处理 Session 会话
weixin_54626591的博客
05-05 176
Burp Suite 自动化处理 Session 会话
burpsuite功能的实战应用技巧
jelly
12-30 2424
场景:web访问中需要将第一个数据包的返回内容作为第二个数据包的参数值,以便进行重放或者爆破。 在一次渗透测试时,遇到验证码限制的情况,不能对系统的用户名密码进行过爆破。这里可以用图形验证码识别工具进行爆破,不够可能在使用上体验不是很好。在该系统中令人无语之处在于该验证码的接口根本不用识别图形验证码,自己就直接把验证码暴露出来了。 那么我们在登录接口的地方直接引用这个这个值就可以通过图形验证码的验证了。恰好burp可以实现这个功能。 接下来将记录burp功能的使用。 流程总结:新建 → 选择
BurpSuite Macros 攻击CSRF
2301_77004573的博客
10-07 290
选定要提取的token所在请求。
利用Burp”解决自动化 web fuzzer的登录问题
weixin_34216036的博客
09-12 295
本文讲的是利用Burp”解决自动化 web fuzzer的登录问题,本博文的主要内容是关于如何利用Burp Suite,帮助我们自动化完成需要手动输入payload的模糊测试工作。尽管许多安全测试人员可能会知道,这篇文章只是为那些尚未利用Burp的自动化功能的人所写的。 在我的渗透测试职业生涯中,在Web应用程序中执行参数和页面表单字段的模糊测...
利用Burp”自动化另类 SQLi
weixin_34186931的博客
09-20 259
本文讲的是利用Burp”自动化另类 SQLi,有许多工具可用于Web应用程序自动化测试。最著名的工具可能是sqlmap。 通过一些简单的命令,Sqlmap就可以轻松地识别和利用SQL注入漏洞。然而,诸如CSRF令牌或一些简单的反自动化技术,例如在表单中包含一个唯一的隐藏字段,就可以防止自动化工具正确工作。 Burp Suite中的是绕过这些防护措施...
Burpsuite使用
1stPeak's Blog
06-07 1995
前言 今天才知道burpsuite中有使用,就把get到的知识记录一下 以DVWA中爆破的High级别为例 1、使用burp进行截断,然后点击Login 2、截到包后,什么也不用干,直接放行,点击 3、按如下步骤执行,添加 4、选择包 注:这里选择如下所示的包也可以 5、 6 6、设置规则 注:这里选择Include all URLs也可以 7、把目标网址加入到sope中,点击Add to scope 8、发送到Inturter,进行爆破 9、最关键的一步,我一开始就是因为
burp模块的使用
mingyqf的博客
02-12 8152
intrude模块:
Web渗透测试-穷举篇 05 burpsuite使用和python脚本对有token后台穷举密码
最新发布
2402_84665417的博客
02-07 1398
在网络安全渗透测试中,一些网站后台会引入 token 机制来增强安全性。token 通俗来讲就是令牌,它具有随机性,每次页面刷新都会发生变化。在提交请求时,必须携带这个 token 值,这一特性能够有效避免后台被直接穷举攻击,同时也能防范 csrf 攻击。当我们在登录网页时,通过右键查看源代码,就能看到 token 值,并且每次刷新后它都会改变。
Burp Suite 的安装教程
04-18
burpsuite安装教程
burpsuite使用技巧.html
02-05
使用Burp Suite时还需注意一些高级功能和技巧,例如Burp Suite的处理功能,它可以帮助模拟用户在应用程序中的行为,验证应用程序是否容易受到会话固定攻击。此外,Burp Suite的扩展程序功能使得用户可以增强工具的...
Brup Suite的用法
qq_50785772的博客
11-16 1493
Brupsuite的 Brup Suite(Macros)是一个预先定义好的HTTP请求序列,这个序列中可以包含一个或多个HTTP请求。在Burpsuite的会话管理规则(Session Handling Rules)中使用,可以完成多种任务。 他最常见的使用方式是: 通过页面的跳转判断当前的会话是否有效; 执行登陆动作获取新的有效会话; 【CSRF Token的绕过,本次案例】获取前一次HTTP请求响应的Token,作为后续请求的输入参数 扫描或模糊测试时,执行一些先前请求,确保扫描请求能被正常执
burp-suite利用爆破存在token的用户名和密码
记录日常学习
06-23 280
抓取进入输入账户密码界面的包,即点击Brute Force所产生的流量包。进入Project options—Sessions点击add,添加。点击send,发现user_token的值刷新,表示设置成功。重新发送至intruder选择集束炸弹,选定用户名和密码。没出来就继续点放包,直到出现有username。输入账号密码重新点击login,进行抓包。选定user_token的值,点击ok。右键点击发送至repeater。分别设置1和2的密码字典。选择所需页面,点击OK。
黑客技术| Burp Suite技能提升
logic1001的博客
04-18 1160
网络安全永远不会停止发展,威胁也在不断演变。正所谓“工欲善其事,必先利其器”,与时俱进地保持对Burp Suite新插件和技术的了解至关重要,通过本文章我们已经深入探讨了Burp Suite一些实用功能和插件,希望本文章对您的网络安全工作有所帮助。
Burpsuite使用更新header(如token)
weixin_47383889的博客
09-09 777
介绍在burpsuite如何利用(macro)更新header(如token、csrf-token)
带token的登陆页面爆破方法(burp+爬虫脚本分享)
seek_2022的博客
12-18 5429
本文以DVWA登陆页面为例介绍并演示了含token的登陆页面如何使用burp或爬虫脚本实时更新token并进行爆破操作,其中爬虫是我个人重点推荐的,操作简单效率极高,burp相对会繁琐一些。
工欲善其事,必先利其器 | Burp Suite技能提升
logic1001的博客
04-13 1307
网络安全永远不会停止发展,威胁也在不断演变。正所谓“工欲善其事,必先利其器”,与时俱进地保持对Burp Suite新插件和技术的了解至关重要,通过本文章我们已经深入探讨了Burp Suite一些实用功能和插件,希望本文章对您的网络安全工作有所帮助。
burp功能爆破dvwa实战测试
weixin_45439432的博客
09-28 684
搭建dvwa环境https://www.jianshu.com/p/97d874548300 级别选择低,中,高均可 准备burp Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值