Burp Suite常用模块介绍

已于 2024-02-27 18:42:01 修改
阅读量1.1k 收藏 14
点赞数 6
文章标签: 安全 网络安全
于 2024-02-27 18:41:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mashiro_hibiki/article/details/136329436
版权

常用默认模块

在burp中,以下的四个模块是最常用到的模块

  • Proxy
  • Intruder
  • Repeater
  • Decoder

模块介绍以及使用

Proxy

简介

Proxy即为代理,在代理模块中可以配置代理的监听网卡和端口,在正确配置完成后,我们的流量才会经过burp,从下图可以直观的看出配置代理前后的流量走向。

使用

为了让我们能抓取到https的流量,还需要先在浏览器中安装burp证书。

首先我们打开burp,在proxy中的options确定代理的监听设置,默认都是设置为127.0.0.1:8080,然后导出。

证书

选择der格式的证书

然后选择导出的路径,因为浏览器导入证书的需求格式,我们把证书取名为burp.cer。

打开浏览器,在设置页面的索引框中输入证书,我这里选择用chrome浏览器,其他浏览器同理。

根据提示选择管理证书。

在打开的证书框中,选择导入证书,找到刚刚导出的证书选择导入。

后面默认选择就可以了。

接着,在chrome浏览器中,我们用SwitchyOmega插件进行代理切换,下图是代理的配置。

配置完成后,只需要几步就可以直接完成代理的切换。

在代理模块中的Http history中可以看到流量已经成功代理到burp中。

在Intercept中可以开启拦截,来抓取并修改某一数据包。

以pikachu靶场为例,拦截登录的数据包,Forward就是放行数据,Drop就是丢弃数据。

把密码改成123456后放行数据包,成功登录。

Intruder

简介

Intruder模块多用于做爆破、遍历或是Fuzz这种需要修改数据包中某个字段的重复性操作。

使用

继续用pikachu靶场做例子。

首先拦截发起登录的数据包。

可以右键发送到Intruder或是快捷键ctrl+i

点击Intruder模块,点击Clear,再选中password字段添加。

Intruder模块有4种攻击模式:

  • Sniper-每次发包只能修改一次选定的参数
  • Battering ram-选定的参数在每次发包时同时修改
  • Pitchfork-要配置两段字典,字典按行数一一对应,超出的部分忽略不加载
  • Cluster bomb-以排列组合的方式

在只爆破密码的情况下我们只选择Sniper模式就好了,payload处加载字典就可以发起攻击了。

最后筛选数据包的长度就能找到登录成功的密码。

Repeater

简介

Repeater模块直译过来就是重复的意思,再该模块中可以不断的修改数据包的数据并重新发包。

使用

同样也是拦截数据包,这里也可以将Intruder的数据包发送到Repeater中,快捷键ctrl+r

这里就是Repeater模块的界面。

左边Request可以做数据的修改,点击Send发送就能看到Response的返回包信息。

我们把密码修改后发送数据。

Decoder

简介

在该模块中可以对字符进行编码或解码的操作。

使用

需要编码的话,我们可以直接到框中输入想要编码的字符,然后点击encode选择编码方式即可。

解码的话也可以用同样的操作来进行,点击decode就能进行解码,选择对应的解码格式。

微信公众号二维码

扫一扫关注CatalyzeSec公众号

我们一起来从零开始学习网络安全

 

CatalyzeSec
关注
19-1 burpsuite模块介绍之repeater
weixin_43263566的博客
12-29 1065
repeater是一个用于手动操作和发送个别HTTP请求的简单工具,它可以帮助您分析应用程序的响应。您可以使用repeater从Burp Suite的任何位置发送内部请求,然后修改请求并发送。通过这种方式,您可以测试和调试应用程序,并对请求和响应进行精细控制。
CTF BurpSuite安装及Intruder爆破模块应用
qq_27489877的博客
07-25 1962
BurpSuite工具安装、版本选择、CA证书导入、Intruder爆破模块介绍、CTFshow web21-28题复现题解
Burp模块
a987329381的博客
05-28 374
3.pitchfork模式:每个变量对应一个字典,比如username和password,依次取其对应的字典中的一条数据对相应变量进行替换,如果两个字典条数不一样,那么一共会执行条数较少的那么多次,即不会交叉替换,只会按每个字典的顺序进行替换。Raw:这个是数据的主要视图格式,它里面包含了HTTP请求的方法,地址,协议版本,请求头,等信息,如果是POST请求的话,在请求头的下面应该还会有请求的实体内容。
Burp suite模块介绍使用
weixin_42515203的博客
05-13 1293
Burp Suite工具的功能介绍
burp模块的使用
mingyqf的博客
02-12 8148
intrude模块
burpsuit之四个模块
Panda_Sanko的博客
03-06 313
** Burpsuite ** Intruder四个模块 一、Target 用于配置目标服务器进行攻击的详细信息。 二、Positions 指定Request发包前要修改的参数位置,及字典如何填充到参数中 四种攻击类型: ①、Sniper(狙击手模式)一次只使用一个payload位置,标记两个位置时: attack NO. location A location B 1 1 no replace 2 2 no replace 3 no replace 1 4 no replace 2 ②、 Batterin
泷羽Sec-Burp Suite功能篇
最新发布
ciscoj的博客
12-01 1133
它能够详细地记录 HTTP 请求和响应的各种信息,包括请求方法(如GET、POST 等)、请求的 URL、请求头(如 User-Agent、Content -Type 等)、请求体内容、响应状态码(如 200、404 等)、响应头和响应体等。学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!三、logger模块(日志记录)
渗透测试---Burpsuite(1)模块介绍
2301_79949226的博客
11-28 1358
本文主要阐释了burpsuite的各模块的作用,希望对你有所帮助咯。。
Burp Suite软件常用模块
qq_57307348的博客
01-21 4651
一 、Sniper模式 Sniper模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下组合(除原始数据外): 攻击序列 位置A 位置B 1 1 no replace 2 2 no replace 3 no replace 1 4 no replace 2 二、Battering ram模式 Battering ram
Burpsuite介绍
2401_82420479的博客
11-26 1905
Burp Spider 通过跟踪 HTML、JavaScript 以及提交的表单中的超链接来映射目标应用程序。它还利用目录列表、资源类型的注释以及 robots.txt 文件等线索来全面清查应用程序的内容和功能。它能够快速地确认应用程序的潜在脆弱功能,并允许指定特定漏洞的检测,如 SQL 注入、路径遍历等。
一、Burp Suite模块的使用
java_java_cl的博客
01-03 431
实验报告 Burp 模块 实验环境:使用BurpUnlimited(Burp Suite)工具 实验要求和目的:Burp 8个模块的使用实列,练习渗透测试。 实验步骤: Proxy 监听代理模块 与其他模块配合使用 Burp 代理 浏览器代理:火狐浏览器代理、谷歌浏览器代理 证书,访问https 时需要证书,可以在burp 添加,火狐浏览器单独添加证书。 2.Repeat...
BurpSuite模块使用
weixin_30675247的博客
02-02 324
Proxy 代理 对浏览器进行代理 对浏览器增加代理服务器 可以对http 请求进行监视 intercept is on 进行监控 off 不监控 可以任意修改 对任意的网络请求 进行爬虫 在 site map 可以看到说有的请求网站目录文件 可以在 spider options 设置网络爬虫规则 ...
BurpSuite部署、使用与原理分析
IronmanJay
10-17 1816
本博客的主要内容为BurpSuite的部署、使用与原理分析。本博文内容较长,因为涵盖了BurpSuite的几乎全部内容,从部署的详细过程到如何使用BurpSuite进行渗透测试,以及对BurpSuite进行渗透测试的原理分析,相信认真读完本博文,各位读者一定会对BurpSuite有更深的了解。以下就是本篇博客的全部内容了。
全面Burp Suite教程:深入掌握Web应用安全测试的利器
m0_68483928的博客
07-17 1万+
Burp Suite是由PortSwigger公司开发的一款集成式Web应用安全测试平台。它被广泛用于发现和利用Web应用中的漏洞。Burp Suite的设计目的是帮助安全测试人员和开发者找到并修复Web应用中的安全问题,从而提升整体的应用安全性。根据目标站点的网络情况适当减少或增加请求通过字符串或者正则表达式动态将请求或响应数据中的匹配到的数据进行替换在安全测试和调试过程或者漏洞挖掘中极为有用,可以帮助测试人员模拟各种情况,测试应用的不同方面,或绕过某些限制。
泷羽sec--轻松了解burp的配置使用及各个模块的作用
China_I_LOVE的博客
11-25 1254
burp全称burp suite,非常的强大的工具,可以抓包,爆破,最强大的是集成化的模块以及可以自行扩展。采用java的,包名为.jar,导入jython包后,会使得可以使用更多的扩展,而且可以把python脚本导入使用。
Burp Suite 使用手册(非常详细),零基础入门到精通,看这一篇就够了
热门推荐
xiangxue666的博客
10-12 1万+
Burp Suite 使用手册(非常详细),零基础入门到精通,看这一篇就够了
burpsuite-intruder部分使用教程
小白的劝退之路
10-14 3589
一、简介 Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。...
burp suite 2023.10 Intruder模块详解)
diaobusi的博客
11-25 7002
Intruder 模块Burp suite的一个重要功能,用于自动化攻击和对目标应用程序进行大规模的攻击测试。
BurpSuite使用指南-使用Burp Intruder
2201_75735270的博客
04-01 2301
共有8个占位,每一个占位可以指定简单列表的Payload类型,然后根据占位的多少,与每一个简单列表的Payload进行笛卡尔积,生成最终的Payload列表例如,某个参数的值格式是username@@password将会生成大量的这种格式参数。
burpsuite模块介绍
07-27
Burp Suite是一个用于攻击Web应用程序的集成平台,包含多个模块。其中常用模块有: 1. Dashboard(仪表盘):用于显示任务和日志信息。 2. Target(目标):提供显示目标目录结构的功能,包括Sitemap(站点地图)和Scope(范围)。 3. Proxy(代理):作为Web浏览器与服务器的中间人,拦截HTTP/s请求的代理服务器。它包括Intercept(拦截)、HTTP history(历史记录)和Options(选项)等功能。 4. Spider(抓取):用于自动抓取目标站点的功能,包括Control(控制)和Options(选项)。 5. Scanner(扫描器):用于主动扫描目标站点的漏洞,包括Issue actively(主动发现漏洞)、Scan queue(扫描队列)、Live scanning(实时扫描)、Issue definitions(漏洞定义)和Options(选项)等功能。 6. Intruder(入侵):提供高精度的可配置工具,用于爆破攻击、获取信息以及使用fuzzing技术探测漏洞等。包括Attack Target(攻击目标)、Positions(位置)和Payloads(有效载荷)等功能。 7. Repeater(中继器):通过手动触发单个HTTP请求,并分析应用程序的响应包。 8. Sequencer(定续器):用于分析不可预知的应用程序会话令牌和重要数据的随机性。 9. Decoder(解码器):用于解码加密或编码的数据。 10. Comparer(比较器):用于对比数据进行差异化分析。 11. Extender(拓展器):可以加载Burp Suite的拓展模块和第三方代码。 以上是Burp Suite的一些常用模块介绍。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Burp suite 常用模块详解](https://blog.csdn.net/qq_45590334/article/details/119737364)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [burpsuite模块详解](https://blog.csdn.net/c_programj/article/details/116427142)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值