【简介】在演示对DVWA攻击之前,我们还需要有一个抓包工具,这里推荐Burp Suite。
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。这里我们要用到的是其中的抓包工具。
① 登录官网 postwigger.net,选择【Burp Suite】。
② Burp Suite有三个版本,企业版、专业版和社区版,只有社区版是免费的,我们只用到抓包工具,因此选择社区版。
③ 点击下载最新的免费社区版。
④ 默认选择Windows 64 bit,点击【下载】。
⑤ 下载后的文件约有168M。
早其的Burp Sutite需要单独安装Java JDK的运行环境,现在一个安装包文件就解决了。
① 鼠标双击安装文件,启动安装向导,点击【Next】。
② 设置安装目录,这里保持默认,点击【Next】。
③ 创建启动菜单,保持默认,点击【Next】。
④ 安装完成。
Burp Sutite抓包需要进行一些配置。
① 点击开始按钮,选择【Burp Suite Community Edition】。
② 由于是免费版本,不能建立项目,点击【Next】。
③ 只以使用默认的配置,点击【Start Burp】。
④ 登录主界面,看上去功能很多,我们只用到其它一部分,点击子菜单【Proxy】。
⑤ 选择【Porxy】下的【Options】,提示需要将浏览器设置为代理。
⑥ FireFox浏览器有自己的代理设置,点击菜单按钮,选择【选项】。
⑦ 在常规菜单中,向窗口拉到最下面,点击网络设置下的【设置】按钮。
⑧ 选择【手动代理设置】,HTTP代理为 127.0.0.1,端口 8080。
⑨ 登录DVWA,将安全等级设置为中等。
⑩ 选择SQL Injection,点击【Submit】。
⑾ Burp Suite的子菜单【Proxy】-【Intercept】,就能显示到抓包信息了。
如果burpsuite抓取localhost数据包时经常发现没有响应。可以试试下面这个方法。
① 是在URL地址内输入 about:config,点击【接受风险并继续】。
② 搜索 network.proxy.allow_hijacking_localhost,将 false 改在 true 就OK了。
7186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
