Burpsuite工具的基础用法

最新推荐文章于 2024-05-13 01:17:36 发布
最新推荐文章于 2024-05-13 01:17:36 发布
阅读量344 收藏 1
点赞数 2
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45344027/article/details/132008805
版权

Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。

Burpsuite主界面

 功能

 Target

 该功能主要用于查看网站的目录及元素,内容包括Host、提交方式,URL、参数、状态码、标题、Comment、Time等,并能够设置对应网址的注释Comment

 scope

简单做一些抓包的过滤

 Proxy

Proxy主要包括Intercept、HTTP histroy 、Websockets history、Options四个标签

模块:intercept 

用于显示修改HTTP请求及响应内容,并可以将拦截的HTTP请求快速发送到其他模块处理。

模块:http history

这里将记录经过代理服务器访问的所有请求,其实当intercept is off也会记录Host(主机)、Method(请求方式)、URL(请求地址)、Params(参数)、Edited(编辑)、Status(状态)、Length(响应字节长度)、MIME type(响应的MLME类型)、Extension(地址文件扩展名)、Title(页面标题)、Comment(注释)、SSL、IP(目标IP地址)、Cookies、Time(发出请求时间)、Listener port(监听端口)。

模块:WebSockets history

这个版块用于记录WebSockets的数据包,是HTML5中最强大的通信功能,定义了一个全双工的通信信道,只需Web上的一个 Socket即可进行通信,能减少不必要的网络流量并降低网络延迟。 

 

 模块:Options

该板块主要用于设置代理监听、请求和响应、拦截反应、匹配和替换,ssl等。

选项1:Proxy Listeners

代理侦听器是侦听从您的浏览器传入的连接本地HTTP代理服务器。它允许您监视和拦截所有的请求和响应,并且位于BurpProxy的工作流的心脏。默认情况下,Burp默认监听12.0.0.1地址,端口8080。要使用这个监听器,你需要配置你的浏览器使用127.0.0.1:8080作为代理服务器。此默认监听器是必需的测试几乎所有的基于浏览器的所有Web应用程序。

选项2:Intercept Client Requests

配置拦截规则,设置拦截的匹配规则。 当Intercept request based on the following rules为选中状态时,burpsuite会配置列表中的规则进行拦截或转发。注意:如果该复选框未选中,那么即使Intercept is on也无法截取数据包。

 

Intercept模块

该模块主要是控制抓取到的数据包,用于显示修改HTTP请求及响应内容,并可以将拦截到的HTTP请求快速发送到其他模块处理

选项1:Target

用于配置目标服务器进行攻击的详细信息。

选项2:Positions

 设置Payloads的插入点以及攻击类型(攻击模式)。

attack type:攻击模式设置

  1. sniper:对变量依次进行破解。多个标记依次进行。
  2. battering ram:对变量同时进行破解。多个标记同时进行。
  3. pitchfork:每一个变量标记对应一个字典,取每个字典的对应项。
  4. cluster bomb:每个变量对应一个字典,并且进行交集破解,尝试各种组合。适用于用户名+密码的破解。
  • add:插入一个新的标记
  • clear:清除所有的标记
  • auto:自动设置标记,一个请求发到该模块后burpsuite会自动标记cookie URL等参数
  • refresh:如果必要的话,这可以要求模板编辑器的语法高亮

 选项3:Payloads

设置1:PayloadSets

Payload数量类型设置

Payload Set:指定需要配置的变量

Payload type:Payload类型。

  • 这里只介绍部分常用Payload,其他Payload可自行研究。
  • Simple list:简单字典
  • Runtime file:运行文件
  • Custom iterator:自定义迭代器
  • Character substitution:字符替换
  • Recursive grep:递归查找
  • lllegal unicode:非法字符
  • Character blocks:字符块
  • Numbers:数字组合
  • Dates:日期组合
  • Brute forcer:暴力破解
  • Null payloads:空payload
  • Username generator:用户名生成
  • copy other payload:复制其他payload

设置2:Payload Opetions[Payload type]

该选项会根据选项1中Payload type的设置而改变

设置3:Payload Processing 

对生成的Payload进行编码、加密、截取等操作

 

*知世郞。
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Burpsuite笔记
weixin_34406086的博客
09-04 428
Burpsuite介绍: 一款可以进行再WEB应用程序的集成攻击测试平台。 常用的功能: 抓包、重放、爆破 1.使用Burp进行抓包 这边抓包,推荐360浏览器7.1版本(原因:方便) 在浏览器设置代理: 360浏览器:工具->代理服务器->代理服务器设置 设置好代理:127.0.0.1:8080 -> 确定 Burpsuit...
Burpsuite插件之BurpKit使用方法1
08-04
BurpSuite插件之BurpKit使用方法详解》 在网络安全评估领域,BurpSuite是一款备受推崇的工具,尤其在Web应用安全测试中扮演着重要角色。而BurpKit,作为BurpSuite的一个插件,进一步提升了其功能性和灵活性,使得...
burpsuite实战指南--如何使用burpsuite
蓝海
06-19 5万+
1. 学习Proxy首先看标红,intercept is on 为拦截状态  其对应的intercept is off 为非拦截状态,设置完代理后打开拦截状态,浏览器发起的请求会被burpsuite所拦截forward: 进行请求后被拦截,点击forward可以继续此次请求,如果你点击drop则丢弃此请求数据。继续请求后能够看到返回结果可以在消息分析选项卡查看这次请求的所有内容1. Raw 这个视...
【2024版】最新BurpSuit的使用教程(非常详细)零基础入门到精通,看一篇就够了
最新发布
2401_84925335的博客
05-13 1343
例如,如果对应用程序执行了两个相同的请求,但每次响应都略有不同,那么您可以使用比较模块来查看响应之间的差异并确定网站是否存在安全问题。------------------------------------默认的内置简单列表完-----------------------------------------------------------------------说实话,这个选项我们会常用的上,先简单说一些利用场景吧,比如说,抓一些数据包的时候,ip被Ban,需要使用这个功能,将数据包发送代理服务器上。
【2024版】最新BurpSuit的使用教程(非常详细)零基础入门到精通,看一篇就够了!让你挖洞事半功倍!
Javachichi的博客
01-25 9795
下载地址:https://github.com/c0ny1/chunked-coding-converterShiro被动检测地址:https://github.com/pmiaowu/BurpShiroPassiveScan**fastjson被动检测**地址: https://github.com/uknowsec/BurpSuite-Extender-fastjson。
BurpSuite使用大全(详解)
一个懒鬼的博客
05-09 3万+
BurpSuite使用大全(详解)_Alphabets26的博客-CSDN博客_burpsuite
burpsuite入门,实用教程
热门推荐
Pz_mstr's Blog
08-04 9万+
渗透测试综合工具——burpsuite 基本使用详细教程
如何使用BurpSuite
weixin_47498728的博客
05-05 3470
1、下载安装免费版或者收费版,这里就不演示了 打开BurpSuite之后的界面像这样,点击Proxy和options,这里可以看见IP:127.0.0.1和端口80802、选中IP,勾选running 可以看到报错了,显示该端口已经被占用 解决:重新添加个IP和端口 添加之后,运行成功 3、打开控制面板→大图标→Internet选项 4、连接→局域网设置 5、选择为LAN使用代理服务器,地址和端口和之前配置的保持一致,不知道的可以查看第一步 6、打开火狐浏览器,输入网站http://burp 7、
BurpSuite入门及详细使用教程(内附学习笔记)
fly_enum的博客
11-23 3144
Burp Suite是用于攻击web应用程序的集成平台,接下来通过本文给大家介绍Burpsuite入门及使用详细教程,感兴趣的朋友一起看看吧
BurpSuite全套使用教程(超实用超详细介绍)
告白的博客
01-23 6万+
0x00 环境与安装 2021专业版推荐使用jdk11 BP : https://portswigger.net/Burp/Releases 注册机:https://github.com/h3110w0r1d-y/BurpLoaderKeygen/releases java sdk: https://download.java.net/openjdk/jdk11/ri/openjdk-11+28_windows-x64_bin.zip vbs自启动脚本: DIM objShell DIM command s
关于burpsuite修改http包的http实验
03-27
网络安全领域,BurpSuite是一款非常流行的工具,主要用于测试Web应用程序的安全性。它集成了多种功能,包括拦截HTTP/S流量、修改请求和响应、爬网、扫描漏洞等。在这个实验中,我们将探讨如何使用BurpSuite来修改...
jdk-17 ,BurpSuite 新版本环境及报错
04-25
在IT行业中,Java开发工具包(Java Development Kit,简称JDK)是开发和运行Java应用程序的基础,而BurpSuite是一款广泛使用的网络安全工具,主要用于Web应用安全测试。在本主题"jdk-17 ,BurpSuite 新版本环境及报错...
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
09-03
Burp Suite作为主要工具,需要安装并配置其代理功能。代理设置一般在Burp Suite的Proxy模块中完成,设定监听的IP地址和端口号,以便接收和转发网络流量。 为了能够捕获HTTPS流量,我们需要处理SSL/TLS证书问题。...
burpsuite_pro_v1.5.18.rar
07-09
本文将深入探讨Burp Suite Professional v1.5.18这一版本的相关知识点,包括其功能、配置与使用方法。 一、Burp Suite简介 Burp Suite是由PortSwigger公司开发的一款集成化的渗透测试工具,它涵盖了从扫描、代理、...
软件安全测试-BurpSuite使用详解
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-11 3032
Burp Suite 是用于攻击web 应用程序的集成平台,它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。 它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描等,你可以理解为它 是Fiddler、Postman等多种工具的结合体。
Burpsuite使用教程
hmysn的博客
07-28 5231
BurpSuite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效的完成对Web应用的渗透测试和攻击。
工具使用】BurpSuite抓包工具使用详解
做自己喜欢的事,并将其发挥到极致!
03-18 4316
Burpsuite是一个用于测试Web应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版减少了许多功能。它是为网络应用程序安全检查提供全面解决方案而开发的。
burpsuite工具的使用(详细讲解)
Forget_liu的博客
06-05 2562
2)抓包改包:BP中 Proxy—intercept—intercept is on(intercept is off 表示关闭截断代理功能),接着在浏览器中访问一个网址,此时BP就会把请求包进行抓取(此时会抓取所有的请求的数据包,我们可以Forward直到看到想要的数据包,或者在http history中找所需的包),我们可以进行改包(Action将截获的HTTP或HTTPS请求发送到。复制操作是在选择的文本上进行的,如果没有被选中的内容,则是针对整个消息了。最少设置2处攻击点,最多设置20处攻击点。
burpsuite拦截使用教程
09-05
Burpsuite是一个常用的网络安全测试工具,可以用来拦截浏览器请求、修改请求参数以及查看返回结果。首先,需要下载和安装Burpsuite,并且确保已经安装了浏览器(例如Firefox)。 接下来,我们可以按照以下步骤来使用Burpsuite进行拦截和修改请求的操作: 1. 打开浏览器,并打开Burpsuite。将Burpsuite设置为代理工具,这样它就可以拦截我们的数据包。 2. 在浏览器中设置代理,将浏览器的请求通过Burpsuite来发送。具体设置方法可以根据不同的浏览器版本而有所差异,一般可以在浏览器的设置或首选项中找到代理设置。将代理的地址设置为Burpsuite所在的IP地址和端口号。这样,浏览器的请求就会被Burpsuite拦截到。 3. 当浏览器发出请求时,Burpsuite会显示在其界面上。我们可以在Burpsuite中查看请求的详细信息,并且可以修改请求参数。在Proxy标签下的Intercept子标签中,可以启用和禁用拦截功能。当拦截功能启用时,我们可以分析和修改请求,然后决定是否继续发送请求。 4. 如果需要修改请求参数,可以在Burpsuite的请求编辑器中进行操作。可以修改URL、请求头和请求体等信息。修改完成后,可以选择继续发送请求或者取消请求。 通过以上步骤,我们可以使用Burpsuite来拦截浏览器请求,并且对请求参数进行修改。这对于网络安全测试和漏洞挖掘非常有用。请注意,使用Burpsuite进行任何测试和修改操作时,应遵守法律和道德规范,确保只对授权的目标进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果](https://download.csdn.net/download/hegang7939/85589106)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [BurpSuite基础使用教程](https://blog.csdn.net/m0_52545432/article/details/127440438)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [渗透工具burpsuite使用教程(一)](https://blog.csdn.net/fansenliangren/article/details/127730691)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值