BurpSuite基础

已于 2022-04-13 17:29:41 修改
阅读量2.9k 收藏 3
点赞数
分类专栏: 渗透工具 文章标签: 安全
于 2022-04-02 08:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45455136/article/details/123874120
版权

BurpSuite基础

BurpSuite基本介绍

BurpSuite是用于攻击web应用程序的集成平台,包含了许多工具

  • 目标:测试网站安全性
  • 手段:抓HTTP包、改HTTP包、自动请求、过滤响应
  • 应用场景:SQL注入、文件上传、XSS、CSRF、FUZZ、重放攻击、密码爆破、爬取数据、漏洞扫描…
  • 特点:集成化、自动化、可扩展

BurpSuite模块详解

官方文档:https://portswigger.net/burp/documentation/contents

Dashboard仪表盘

  • New scan:扫描网站漏洞
  • New live task:新建实时任务
  • Event Log:事件日志,解决网络连接或其他问题
  • Issue activity:问题活动,看实时报告的漏洞

Target目标

按主机或者域名分类记录经过BurpSuite的数据包

  • Site map:树形站点地图,网站目录结构
  • Scope:扫描域拦截规则设置,高级设置可使用正则表达式
  • Issue definitions:能被扫描发现的漏洞

Proxy代理

bp作为中间服务器监听HTTP端口,浏览器设置代理访问bp的端口将数据发给bp,bp再转发数据给目标服务器

  • Intercept:拦截界面,抓取数据包并进行操作
  • HTTP history:按时间顺序记录经过BurpSuite的数据包
  • WebSockets history:交互式通信会话历史
  • Options:代理服务器监听设置

BurpSuite拦截HTTPS数据

HTTPS由两部分组成:HTTP+ SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块

  1. CA颁发的证书包含机构的公钥,用CA的私钥对机构公钥摘要加签
  2. 浏览器用操作系统自带的CA根证书里的公钥对摘要进行验签,确认机构公钥合法
  3. 浏览器用机构的公钥与服务器协商会话密钥
  4. 浏览器与服务器用会话密钥通信

BurpSuite代理模块选项中export CA导出.der格式证书
在这里插入图片描述
火狐浏览器设置中搜索证书,导入并安装BurpSuite证书
在这里插入图片描述
PortSwigger证书安装完即可抓取HTTPS数据包
在这里插入图片描述

BurpSuite拦截手机App数据

BurpSuite监听设置在无线对应的ip上
在这里插入图片描述
手机设置中安装BurpSuite证书,导出的.der文件重命名为.cer格式
在这里插入图片描述
手机配置wifi代理,未生效则重连wifi
在这里插入图片描述
成功抓取手机数据包
在这里插入图片描述

Intruder渗透

对拦截到的请求设置攻击载荷,利用字典进行渗透测试。如目录扫描、密码暴力破解、压力测试、FUZZ等

  • Target:设置攻击目标
  • Positions:设置攻击类型
    1.Sniper:狙击手模式,只能对一个字段进行攻击
    2.Battering ram:攻城锤模式,所有字段使用相同的值攻击
    3.Pitchfork:草叉模式,可对多个字段进行攻击,但字段的值是按顺序对应的。当用户名为10个时,不论密码数量为多少都只取前10个进行攻击
    4.Cluster bomb:榴霰弹模式,可对多个字段进行攻击。每个用户名都会尝试所有密码的值,攻击次数为字段值数量的乘积
  • Payloads:设置攻击字段内容
  • Resource Pool:请求线程设置
  • Options:HTTP数据包相关操作

Repeater重放

可修改请求和响应内容、重发请求内容

Sequencer序列器

收集网站Token、Session等关键字段值,用来评估Token、Session是否可以伪造

Decoder解码器

对数据进行编码、解码

Comparer比较器

对两次请求的结果进行对比

Extender扩展

对插件进行管理

c1o22
关注
专栏目录
Burpsuite工具的基础用法
qq_43710889的博客
08-09 3004
Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。 Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp Suite结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。 本次主要使用的是2020.12.1版本的burpsuite 略过安装、
jdk-17 ,BurpSuite 新版本环境及报错
04-25
在IT行业中,Java开发工具包(Java Development Kit,简称JDK)是开发和运行Java应用程序的基础,而BurpSuite是一款广泛使用的网络安全工具,主要用于Web应用安全测试。在本主题"jdk-17 ,BurpSuite 新版本环境及报错...
burpsuite Burp Suite
06-25
众所周知,Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。本软件为破解版,无需注册
burpsuite
qq_53051166的博客
04-27 1621
asdasd
渗透必学神器:BurpSuite教程(超详细)
shanguicsdn111的博客
09-23 3868
Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。从本节开始将为大家陆续带来BP各个模块的使用说明。
Burpsuite
FODKING的博客
09-08 440
Burpsuite 一.Burpsuite暴力破解的基本用法 工具包——intruder(入侵爆破)应用 Payload(炸弹量)其类型有18种常见的有: 1.简单列表(simple list)最简单的 配置字符串列表作为payload可手工可从文件加载字符串列表 其本身自带了字典可以自由使用 2.字符串替换(Character substitution) 先进行预定义后替换 3.递归grep (Recursive grep) 主要用于从服务器端提取有效数据,需先从服务器响应中提取数据在替换payloa
BurpSuite
tbygadgjsad的博客
01-13 6850
一、burpsuite安装与配置 1.简介:Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 2.安装实例---在windows7中安装burpsuite专业版 (1)下载、安装Java环境 (2)设置Java环境变量 (3)下载burpsuite程序包(.jar)破解并启动burpsuite por 步骤1:安
burpsuite-实战指南-带目录可编辑.pdf
06-02
### 第一部分:Burp Suite基础 #### 1. Burp Suite安装和环境配置 Burp Suite 是用Java语言编写的,具有良好的跨平台特性,可以在不同操作系统中轻松安装和使用。安装过程中,用户通常需要下载Java运行环境,并运行...
2024年Burpsuite超详细安装教程.zipburpsuite安装详细教程### 内容概要 本博客为初学者提供了一个关于B
03-10
通过跟随博客,读者可以了解Burpsuite的基本概念、特点和安装方法,学会如何使用Burpsuite的高级特性进行安全测试,参与相关社区,并为未来的深入学习打下坚实的基础。 ### 其他说明 本博客注重实用性和易懂性,尽量...
burpsuite系列使用教程
09-12
一、Burp Suite基础设置与重复提交比较 首先,理解Burp Suite的基本设置至关重要。Burp Suite的代理功能允许它拦截和修改网络流量,以便分析和测试Web应用程序的安全性。在开始使用前,你需要在浏览器中配置Burp ...
burpsuite.rar
07-17
burpsuite pro 1代版本,亲测可用, 需要输入验证码,然后点击手工激活。
Burp Suite
11-30
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。 Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。 Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。 Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。 Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。 Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。 Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异。
渗透测试工具Burpsuite
seanyang_的博客
05-29 1840
学习文档Burp Suite是一款流行的集成式Web应用程序安全测试工具套件,广泛应用于渗透测试、安全审计、黑盒测试和漏洞研究等Web安全领域。它由PortSwigger公司开发,提供可视化界面和扩展机制,支持各种安全测试,可通过代理截获HTTP和HTTPS请求,观察请求和响应,对请求进行修改和重发,协助发现和验证Web应用程序的各种漏洞,如跨站点脚本、SQL注入、文件包含等。Burp Suite包含了多个工具,如代理、重放器、爬虫、扫描器和拦截器等。
Burpsuite简单入门
最新发布
Palpitate_LL的博客
11-11 324
Burpsuite是以中间人的方式代理拦截客户端(浏览器)到服务端的http请求,想要抓取到这些请求包需要先设置代理,
Web工具---BurpSuite
永不垂头的博客
06-28 151
BurpSuite 一、相关介绍 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 Burp Suite 能高效率地与多个工具一起工作,例如: 一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。 在一个工具处理HTTP 请求和响应时,它可以选择调用其他任意的Burp工具。例如: 代理记录
网络安全——Burpsuite
weixin_54055099的博客
08-14 2024
Burpsuite的使用,对DVWA靶机的暴力破解,sqli-labs第11关
Burpsuite 安装
waqqy的博客
05-10 346
1.安装Java环境,下载jdk,并配置环境变量 #这里以jdk14为例 下载连接:https://www.aliyundrive.com/s/nK33euuB1nf 2.安装burp工具 下载连接:https://www.aliyundrive.com/s/nK33euuB1nf 下载后解压 3.给火狐浏览器安装proxy代理 4.安装证书,使用burpsuite抓取数据包 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值