【Burpsuite】proxy模块学习及案例操作

已于 2023-07-04 10:56:18 修改
阅读量1.2k 收藏 5
点赞数
文章标签: 学习 代理模式 firefox
于 2023-05-28 15:48:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70185580/article/details/130912754
版权

文章目录

前言

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。

一、proxy简介

Burp Proxy 是Burp Suite的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。

1.1.proxy代理模块

在这里插入图片描述
Forward:我们对信息拦截编辑之后可以通过这个按钮来将修改之后的信息发送给服务器或者浏览器。

Drop: 如果不想发送的信息可以用这个按钮将其丢掉。

Intercept is on/off:控制拦截的开关,如果这个是开着的我们就可以对数据包进行一系列操作,如果没有开那么拦截之后所有的信息将自动转发。

Action: 这里可以显示你可以对这些信息进行的大部分操作。
Open browser:打开浏览器。

Intercept板块
在这里插入图片描述
HTTP history (HTTP历史)
对Filter settings内容解释:

1.Fitter by Request type:按照请求类型筛选
Show only in-scope items:只显示范围内的
Show only parameterized requests:只显示带有参数的请求
Hide not-found items:隐藏未找到的

2.Fitter by search term:通过关键字筛选 直接输入关键字即可筛选
regex:通过正则表达式匹配
case sensitive:是否区分大小写
negative search:消极搜索,选择后将筛选出不包含该关键字的请求

3.Fitter by MIME type:通过文件类型筛选
HTML:是否显示HTML文件请求
Script:是否显示脚本文件请求
XML:是否显示标记文件请求
CSS:是否显示层叠样式文件请求
Other text:是否显示其他类型文本请求
images:是否显示图片请求
Flash:是否显示Flash动画请求
Other binary:是否显示其他二进制文件。

4.Fitter by file extension:通过文件后缀筛选
Show only:只显示自定义的后缀请求
Hide :隐藏自定义的后缀请求

5.Fitter by status code:根据HTTP响应状态码筛选
2xx:显示成功的请求
3xx:显示重定向的请求
4xx:显示请求错误的请求
5xx:显示服务器错误的请求

6.Fitter by annotation:显示仅显示用户提供的注释或亮点的项目

Show only commented items:只显示注释项目
Show only highlighted items:只显示突出显示的项目
Folders:是否显示文件夹
hide empty folders:隐藏空文件夹

可以将Filter setting 作为过滤器。

1.2Proxy setting(代理设置)

Proxy listeners(代理侦听器): 通过这个来设置网页代理,只有burp代理成功,数据才会传到burp上面。在这里插入图片描述
Request interception rules (请求拦截规则):使用这些设置可以控制哪些请求被搁置以在“拦截”选项卡中进行查看和编辑。
在这里插入图片描述
Websocket interception rules (Websocket拦截规则)
在这里插入图片描述

二、案例操作

实验环境:kali Linux主机 靶机:Windows7 64位(需安装有Pikachu漏洞平台)

注:burpsuite在这里是在用户使用的浏览器和目标服务器之间充当一个中间人(代理)的角色。(浏览器设置BurpSuite为代理)

2.1、下载并安装phpstudy集成环境:

(1)下载合适版本的phpStudy,解压。
在这里插入图片描述
本例采用64位windows 7。
(2)双击phpstudy_x64_8.1.1.2.exe即可进行安装。
在这里插入图片描述
注意:安装路径不能包含“中文”或者“空格”
(3)启动环境
安装完成后,会自动打开软件,如果未打开软件,可在电脑桌面上点击phpstudy快捷方式打开。
启动apache和mySQL服务即可。

在这里插入图片描述

2.2、下载并搭建pikachu渗透测试平台


下载pikachu渗透测试平台:

下载地址:GitHub - zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台。

(1) 将压缩包放至phpstudy_pro/www网站根目录下解压
在这里插入图片描述
(2)修改配置文件:/pikachu-master/inc/config.inc.php(根据文件路径找到文件
在这里插入图片描述
在这里插入图片描述

2.3、进入主页面

连接浏览器访问http://192.168.253.132(win7本机ip) /pikachu-master/
注意:如果IE浏览器不出现下图左边栏目,安装谷歌浏览器即可解决。

在这里插入图片描述

2.4. 在kali虚拟机中登录Pikachu平台

在kali虚拟机中访问以下网址,登录Pikachu:http:// 192.168.253.129 /pikachu-master/vul/burteforce/bf_form.php

选择暴力破解/基于表单的暴力破解,输入用户名(amdin)和密码(123456),登录成功会有“login success”提示:
在这里插入图片描述

2.5.burpsuite启动,将burpsuite设置为代理工作模式

在这里插入图片描述

2.6.配置FireFox浏览器使用burpsuite代理

在这里插入图片描述

2.7.数据包拦截

输入用户名(假设知道用户名为admin)和密码(不知道,输入任意字符串,如000000),使用burpsuite拦截。
在这里插入图片描述

三、 总结

在使用burpsuite拦截网页数据包时,需要在burpsuite进行代理设置,浏览器的代理设置要与burpsuite的代理设置一致,否则无法拦截到数据包。拦截到数据包后可以将其发送到intruder模块进行爆破用户名或密码。

21计算机网络技术1班蓝军
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
burpsuite新版的Spider模块Content discovery功能详解和实操.doc
03-20
burpsuite新版的Spider模块Content discovery功能详解和实操
BurpSuite手册-005-Burp Proxy
06-24
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
记录Firefox浏览器关于burpsuite的代理问题
派大星的不眠博客
10-26 1182
火狐浏览器使用foxyproxy代理
Burpsuite简单代理配置
m0_51444124的博客
05-27 1万+
前情提要:通常情况下,用户通过浏览器浏览网页,是浏览器(客户端)和服务器的一个交互,就是互相发消息的意思吧(姑且这么理解)。那么我们要想分析它们交流了个什么,就需要一个人当个中介(中间人),可以拦截两个人的信息,也可以相互转发。就是我们所说的设置代理,而Burpsuite在这里就充当一个中间人的身份。 1.在Burpsuite上设置代理端口 默认代理是本机的8080端口,无特殊需求就不用更改 2.在浏览器上设置代理,这里以火狐浏览器为例 找到火狐浏览器的设置(settings) 找到类似于这个界面的(
Web安全攻防渗透测试实战指南之Burp工具使用,6年菜鸟开发面试字节跳动网络安全研发岗
最新发布
2401_84103250的博客
04-04 689
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
BurpSuite简介及代理设置
hapenl的博客
10-09 3988
一、Burpsuite简介 BurpSuite是一个集成化的渗透测试工具,集合了多种渗透测试组件,帮助我们快速完成应用的渗透测试和攻击检测。 BurpSuite的执行程序是可执行的jar文件,官网有免费版及收费的专业版,两者区别在于免费版无法使用很多高级工具,如: 1、Burp Scanner; 2、工作空间的保存和恢复; 3、拓展工具,如Target Analyzer,Content
BurpSuite--Proxy详解
ve9etable的博客
07-16 2009
BurpSuite--Proxy 目录 代理设置 浏览器代理设置 FoxyProxy插件使用 Burp Proxy基本使用方法 Intercept HTTP history WebSockets history 案例:使用Proxy截包改包 代理设置 Burp Suite代理模式拦截通过代理的网络流量,主要拦截HTTP和HTTPS的流量,拦截时,Burp Suite以中间人方式对客户端请求数据、服务端返回做各种处理,以达到安全评估测试的目的。所以我们就需要对Web浏览器进行代理设置
BurpSuite-Proxy使用
elmoyan的博客
10-09 1751
BurpSuite Proxy模块使用
BurpSuite-代理和浏览器设置
elmoyan的博客
09-15 1万+
BurpSuite代理和浏览器设置
BurpSuit在不同浏览器中配置代理
北冥同学的成长记录笔记
04-28 8198
文章通过分享各大浏览器如何设置代理的知识,帮助初学者快速掌握代理配置相关技能。
ProxySettings代理设置
weixin_49511001的博客
02-24 1万+
勾上 DO not show this dialong in the future 再点击NO 然后在左上角点击FIle➡Settings➡Appearance&Behavior➡System Settings➡HTTP Proxy在AUtomatic proxy configuration URL里输入mirrors.neusoft.edu.cn:80 这就OK
Burp Suite功能详解——proxy模块
weixin_54072578的博客
11-21 7377
Proxy-代理模块 Burp ProxyBurp Suite的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。 Proxy组件下有四个标签,分别是 Intercept(拦截), HTTP history(HTTP历史), WebSockets history(WebSockets历史), Options(选项)。 Intercept(拦截) 我们需要的数据包都是在这个模块操作的,在这里可以实现对数据的拦截,查看,修改,传送等功能。 Intercept is.
Android Studio Proxy Setting 设置(详细图文说明)
热门推荐
weixin_43474701的博客
05-27 4万+
Android Studio代理设置 Android Studio Proxy Setting 设置 在很多时候编译依赖的相关库文件都是需要墙出去的,所以我们得学会怎么翻,具体可以查查网上很多详细的攻略,这里只介绍墙完后Android Studio的设置。 File->Settings如下图,配置Auto-detect proxy settings 代理停用后,有时候会遇到同步失败的问题,这是因为Android Studio的 gradle会把手工配置的代理信息保存至当前用户目录的gradle.p
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
BurpSuite 1.7.32 原版+注册机及使用方法
08-25
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、...
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
基于burp suite进行代理、爬取;解决不能连接、不信任等问题
M_Young的博客
12-08 3351
1.功能模块 Target------------目标模块用于设置扫描域(target scope)、生成站点地图(sitemap)、生成安全分析 Proxy------------- 代理模块用于拦截浏览器的http会话内容 Spider --------------爬虫模块用于自动爬取网站的每个页面内容,并生成完整的网站地图 Scanner ------------扫描模块用于自动化检测漏洞,分为主动和被动扫描 Intruder --------------入侵(渗透)模块根据上面检测到的可能存在漏洞
Burp Suite使用介绍——Proxy功能(三)
01-05 1756
Scanner功能 UsingBurp Scanner 分以下几个步骤来简单使用Scanner 1.设置好代理之后在地址栏输入你要抓取的地址,并且要在Proxy里把拦截关了,随后切换到Scanner的Results就可以看到地址已经在开始扫描咯 2.对地址右击还可以导出报告, Html或者xml随便你以什么格式的,然后一直下一步下一步到如下图选择保存文件到哪
Burp Suite设置浏览器代理
weixin_52151447的博客
11-25 1万+
burp设置代理 代理方法一:浏览器普通代理,监听系统中所有的数据包; 1、打开谷歌浏览器设置,在搜索“代理”,点击,设置代理,设置使用代理服务器,地址选择127.0.0.1端口为8080; 2、打开burp--Proxy--Options,查看设置是否监听了本地8080端口; ...
burpsuite proxy
08-24
在麦田怪圈的案例中,有一种工具叫做burpsuite proxyBurp ProxyBurp Suite的核心模块之一,它通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。在使用burpsuite拦截网页数据包时,需要在burpsuite进行代理设置,同时需要确保浏览器的代理设置与burpsuite的代理设置一致,这样才能成功拦截到数据包。所以,burpsuite proxy是用来在渗透测试中拦截和修改数据包的重要工具。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【Burpsuiteproxy模块学习案例操作](https://blog.csdn.net/m0_70185580/article/details/130912754)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值