BurpSuite的使用（上）

【免责声明】

本博客中介绍的网络安全测试工具仅供学习和研究使用。使用这些工具时，请务必遵守当地的法律法规。任何人不得将本博客中提到的工具用于非法目的，如未经授权的渗透测试、数据窃取或破坏他人网络。读者在使用这些工具时应承担全部责任，与本博客作者无关。作者不对任何由于滥用工具或违反法律所导致的后果负责。

0. 前言

1. 安装：BurpSuite超详细安装教程-功能概述-配置-使用教程---(附下载链接)_burpsuite下载安装-CSDN博客
2. Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。
3. 主要介绍以下：

Target(目标)——显示目标目录结构的的一个功能

Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。

Scanner(扫描器)——高级工具，执行后，它能自动地发现web 应用程序的安全漏洞。

Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。

Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。

Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。

Options(设置)——对Burp Suite的一些设置

1. 工作流程：Burp Suite使用介绍（一） | WooYun知识库

1. Burp Suite功能按钮键翻译对照

1.Proxy

1.1 介绍

1. Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心
2. 通过代理模式，可以拦截、查看、修改所有在客户端和服务端之间传输的数据

1.2 截断

1. 首先配置浏览器的代理服务器：
   1. http监听：设置浏览器代理或其他代理，端口可以随便定义但是要跟burp的监听端口要一致然后保存再到Proxy的Options中添加add
   2. https监听：https需要安装证书，具体操作见百度
2. 通过【拦截请求】按钮，决定是否对中间数据包进行操作，点击拦截请求，之后随便访问url

1. Forward-放包：编辑信息之后，允许发送信息到服务器或浏览器
2. Drop-弃包：丢包
3. Interception is on/off-拦截请求：切换和关闭所有拦截
4. Action-行动：可用的动作行为操作
5. 添加注释和颜色

1. Raw 这是视图主要显示web请求的raw格式，包含请求地址、http协议版本、主机头、浏览器信息、Accept可接受的内容类型、字符集、编码方式、cookie等。可以通过手工修改这些信息，对服务器端进行渗透测试
2. params 这个视图主要显示客户端请求的参数信息、包括GET或者POST请求的参数、Cookie参数。渗透人员可以通过修改这些请求参数来完成对服务器端的渗透测试。
3. headers 这个视图显示的信息和Raw的信息类似，只不过在这个视图中，展示得更直观、友好
4. Hex 这个视图显示Raw的二进制内容

1.3 HTTP历史记录

1. History(代理历史)总在更新，即使你把Interception turned off(拦截关闭)，允许浏览不中断的同时还监测应用流量的关键细节。
2. History Table上方的过滤栏描述了当前的显示过滤器。点击过滤器栏打开要编辑的过滤器选项。该过滤器可以基于以下属性进行配置：

1. 在某条消息上双击，则会弹出此条消息的详细对话框
2. 同时，可以执行多种行动

1.4 WebSocket 历史记录

1. WebSockets历史所提供的功能和选项是HTTP历史的一个子集，只是因为采用的通信方式的不同，而被独立出来成为一个专门的视图
2. 其功能的使用方式与HTTP历史雷同

1.5 选项Options

1. 客户端请求消息拦截
2. 服务器端返回消息拦截
3. 服务器返回消息修改
4. 正则表达式配置
5. 其他配置项
6. 详见：第三章 如何使用Burp Suite代理 · burpsuite实战指南

2. Target功能

2.1 介绍

1. Burp Target 组件主要包含站点地图、目标域、Target 工具三部分组成
2. 用于生成站点地图（sitemap）、设置作用域（target scope）、生成安全分析

2.2 Site map

1. 使用proxy抓取一些信息之后，会在target模块中生成站点信息
2. 左边为访问的URL，按照网站的层级和深度，树形展示整个应用系统的结构和关联其他域的url情况
3. 右边显示的是某一个url被访问的明细列表，共访问哪些url，请求和应答内容分别是什么，都有着详实的记录
4.  基于左边的树形结构，我们可以选择某个分支，对指定的路径进行扫描和抓取

1. 针对地址右键显示当前可以做的一些动作操作等功能
2. 可以将某个域直接加入 Target Scope中

1. 在site map中点击Filter过滤器，勾选Show only in-scope items，只显示需要的内容

2.3 Scope

1. Scope主要使用于下面几种场景中：
   1. 限制站点地图和Proxy 历史中的显示结果
   2. 告诉Burp Proxy 拦截哪些请求
   3. Burp Spider抓取哪些内容
   4. Burp Scanner自动扫描哪些作用域的安全漏洞
   5. 在Burp Intruder和Burp Repeater 中指定URL
2. 通过Target Scope 我们能方便地控制Burp 的拦截范围、操作对象，减少无效的噪音
3. 在Target Scope的设置中，主要包含两部分功能：包含规则和去除规则，如下：

1. 允许规则：按此规则进行过滤拦截；去除规则：这些规则的不拦截

2.4 使用

1. Target 工具的使用的使用主要包括以下部分：
   1. 手工获取站点地图
   2. 站点比较
   3. 攻击面分析

（1）手工获取站点地图

1. 设置浏览器代理之后，关闭BP拦截，手动浏览网页
2. 手工获取站点地图的好处，可以根据自己的需要和分析，自主地控制访问内容，记录的信息比较准确
3. 与自动抓取相比，则需要更长的时间，如果需要渗透测试的产品系统是大型的系统，则对于系统的功能点依次操作一遍所需要的精力和时间对渗透测试人员来说付出都是很大的

（2）站点比较

1. 主要有以下3种场景： 1.同一个帐号，具有不同的权限，比较两次请求结果的差异。 2.两个不同的帐号，具有不同的权限，比较两次请求结果的差异。 3.两个不同的帐号，具有相同的权限，比较两次请求结果的差异。
2. 详细：第五章 如何使用Burp Target · burpsuite实战指南

（3）攻击面分析

1. 概况视图主要展示当前站点动态URL数量、静态URL数量、参数的总数、唯一的参数名数目
2. 动态URL视图展示所有动态的URL请求和应答消息

1. 参数视图有上中下三部分组成，上部为参数和参数计数统计区，你可以通过参数使用的次数进行排序，对使用频繁的参数进行分析；中部为参数对于的使用情况列表，记录对于的参数每一次的使用记录；下部为某一次使用过程中，请求消息和应答消息的详细信息。

3. Spider 和 Scanner

3.1 介绍

1. 2.0之后版本将spider模块取消，参考：新版抓包神器 Burp Suite 2020 找不到 spider模块？_burpsuite没有spider模块-CSDN博客
2. 启动扫描的一种方法是单击“仪表板”选项卡上的“新扫描”。这将打开一个向导，让您配置扫描的详细信息
3. 每个扫描都有自己的配置设置。例如，对于抓取任务，您可以配置抓取优化、抓取限制、登录功能选项和错误处理

（1）Burp Scanner扫描方式

1. 主动扫描（Active Scanning）

当使用主动扫描模式时，Burp 会向应用发送新的请求并通过payload验证漏洞；

产生大量的请求和应答数据，直接影响系统的性能，通常使用在非生产环境；

它对下列的两类漏洞有很好的扫描效果：

1. 1. 客户端的漏洞，像XSS、Http头注入、操作重定向；
   2. 服务端的漏洞，像SQL注入、命令行注入、文件遍历。

对于第一类漏洞，Burp在检测时，会提交一下input域，然后根据应答的数据进行解析。在检测过程中，Burp会对基础的请求信息进行修改，即根据漏洞的特征对参数进行修改，模拟人的行为，以达到检测漏洞的目的。 对于第二类漏洞，一般来说检测比较困难，因为是发生在服务器侧。比如说SQL注入，有可能是返回数据库错误提示信息，也有可能是什么也不反馈。Burp在检测过程中，采用各个技术来验证漏洞是否存在，比如诱导时间延迟、强制修改Boolean值，与模糊测试的结果进行比较，已达到高准确性的漏洞扫描报告。

      2. 被动扫描（Passive Scanning）

Burp不会重新发送新的请求，它只是对已经存在的请求和应答进行分析，这对系统的检测比较安全，尤其在你授权访问的许可下进行的，通常适用于生成环境的检测。

下列这些漏洞在被动模式中容易被检测出来：

1. 1. 提交的密码为未加密的明文。
   2. 不安全的Cookie的属性，比如缺少的HttpOnly和安全标志。
   3. cookie的范围缺失。
   4. 跨域脚本包含和站点引用泄漏。
   5. 表单值自动填充，尤其是密码。
   6. SSL保护的内容缓存。
   7. 目录列表。
   8. 提交密码后应答延迟。
   9. session令牌的不安全传输。
   10. 敏感信息泄露，像内部IP地址，电子邮件地址，堆栈跟踪等信息泄漏。
   11. 不安全的ViewState的配置。
   12. 错误或者不规范的Content-type指令。

虽然被动扫描模式相比于主动模式有很多的不足，但同时也具有主动模式不具备的优点，除了前文说的对系统的检测在我们授权的范围内比较安全外，当某种业务场景的测试，每测试一次都会导致业务的某方面问题时，我们也可以使用被动扫描模式，去验证问题是否存在，减少测试的风险。

3.2 原spider功能使用

1. 控制：决定监视和控制搜索会话
2. 设定：可以进行相关搜索配置

3.3 sacnner扫描

具体查看：第七章 如何使用Burp Scanner · burpsuite实战指南

4. Intruder

4.1 Intruder使用场景和操作步骤

（1）工作原理及应用

Intruder在原始请求数据的基础上，通过修改各种请求参数，以获取不同的请求应答。每一次请求中，Intruder通常会携带一个或多个有效攻击载荷（Payload),在不同的位置进行攻击重放，通过应答数据的比对分析来获得需要的特征数据。

Intruder通常被使用在以下场景：

1. 标识符枚举

Web应用程序经常使用标识符来引用用户、账户、资产等数据信息。例如，用户名，文件ID和账户号码。

1. 提取有用的数据

 在某些场景下，而不是简单地识别有效标识符，你需要通过简单标识符提取一些其他的数据。比如说，你想通过用户的个人空间id，获取所有用户在个人空间标准的昵称和年龄。

1. 模糊测试

很多输入型的漏洞，如SQL注入，跨站点脚本和文件路径遍历可以通过请求参数提交各种测试字符串，并分析错误消息和其他异常情况，来对应用程序进行检测。由于的应用程序的大小和复杂性，手动执行这个测试是一个耗时且繁琐的过程。这样的场景，您可以设置Payload，通过Burp Intruder自动化地对Web应用程序进行模糊测试。

（2）步骤

1. 查找可能存在问题的请求日志，并通过右击菜单，发送到Intruder
2. 打开Target和Positions子选项卡，会看到上一步发送过来的请求消息

1. 默认情况下，Burp Intruder会对请求参数和Cookie参数设置成Payload position，前缀添加 $符合，如绿色标注位置所示。当发送请求时，会将$标识的参数替换为Payload
2. 在Position界面的右边，有【Add $】、【Clear $】、【Auto $】、【Refersh $】四个按钮，是用来控制请求消息中的参数在发送过程中是否被Payload替换，如果不想被替换，则选择此参数，点击【Clear $】,即将参数前缀$去掉。
3. 打开Payload 子选项卡，选择Payload的生成或者选择策略，默认情况下选择“Simple list"，也可以通过下拉选择其他Payload类型或者手工添加。

1. 回到Position界面，在界面的右上角，点击【Start attack】，发起攻击。
2. Burp会自动打开一个新的界面，包含攻击执行的情况、Http状态码、长度等结果信息。

1. 为了更好的标明应答消息中是否包含有我们需要的信息，通常在进行攻击前，会进行Options选项的相关配置，使用最多的为正则表达式匹配（Grep - Match）

1. 使用结果选项卡中的过滤器，对结果信息进行筛选。

1. 最后，选择我们需要的列，点击【Save】按钮，对攻击结果进行保存。
2. 保存之前我们也可以对保存的内容进行设置。

4.2 Payload类型与处理

在Burp Intruder的Payload选项卡中，有Payload集合的设置选项，包含了经常使用的Payload类型，共18种。

1. 简单列表（Simple list） ——最简单的Payload类型，通过配置一个字符串列表作为Payload，也可以手工添加字符串列表或从文件加载字符串列表。

1. 运行时文件（Runtime file） ——指定文件，作为相对应Payload位置上的Payload列表。

1. 自定义迭代器（Custom iterator）——这是一款功能强大的Payload，它共有8个占位，每一个占位可以指定简单列表的Payload类型，然后根据占位的多少，与每一个简单列表的Payload进行笛卡尔积，生成最终的Payload列表。选择位置——选择列表或自行添加

1. 字符串替换（Character substitution）——顾名思义，此种Payload的类型是对预定义的字符串进行替换后生成新的Payload

1. 大小写替换（Case modification）——对预定义的字符串，按照大小写规则，进行替换。
2. 递归grep （Recursive grep）——此Payload类型主要使用于从服务器端提取有效数据的场景，需要先从服务器的响应中提取数据作为Payload，然后替换Payload的位置，进行攻击。

设置取服务器端的EagleId作为新的Payload，点击上图的【OK】按钮之后，完成了Payload的设置。

攻击时，Burp会对每一次响应的消息进行分析，如果提取到了EagleId的值，则作为Payload再发生一次请求。

1. 不合法的Unicode编码（Illegal Unicode）—— 在payloads里用指定的不合法Unicode 编码替换字符本身，从这些Payload列表里产生出一个或者多个有效负荷。
2. 字符块（Character blocks）——这种类型的Payload是指使用一个给出的输入字符串，根据指定的设置产生指定大小的字符块，表现形式为生成指定长度的字符串。它通常使用了边界测试或缓冲区溢出。
3. 数字类型（Number）——这种类型的Payload是指根据配置，生成一系列的数字作为Payload。
4. 日期类型（Dates）——这种类型的Payload是指根据配置，生成一系列的日期。
5. 暴力字典（Brute forcer）——此类Payload生成包含一个指定的字符集的所有排列特定长度的有效载荷，通常用于枚举字典的生成。
6. 空类型（Null payloads）——这种负载类型产生的Payload，其值是一个空字符串。在攻击时，需要同样的请求反复被执行，在没有任何修改原始请求的场景下此Payload是非常有用的。它可用于各种攻击，例如cookie的序列分析、应用层Dos、或保活会话令牌是在其它的间歇试验中使用。
7. 字符frobber（Character frobber）——这种类型的Payload的生成规律是：依次修改指定字符串在每个字符位置的值，每次都是在原字符上递增一个该字符的ASCII码。它通常使用于测试系统使用了复杂的会话令牌的部件来跟踪会话状态，当修改会话令牌中的单个字符的值之后，您的会话还是进行了处理，那么很可能是这个令牌实际上没有被用来追踪您的会话。
8. Bit翻转（Bit flipper）——这种类型的Payload的生成规律是：对预设的Payload原始值，按照比特位，依次进行修改。
9. 用户名生成器（Username generator）这种类型的Payload主要用于用户名和email帐号的自动生成。
10. ECB 加密块洗牌（ECB block shuffler）——这种类型的Payload是基于ECB加密模式的Payload生成器。
11. Burp Payload生成插件（Extension-generated）——这种类型的Payload是基于Burp插件来生成Payload值。
12. Payload复制（Copy other payload）——这种类型的Payload是将其他位置的参数复制到Payload位置上，作为新的Payload值，通常适用于多个参数的请求消息中，它的使用场景可能是： 1.两个不同的参数需要使用相同的值，比如说，用户注册时，密码设置会输入两遍，其值也完全一样，可以使用此Payload类型。 2.在一次请求中，一个参数的值是基于另一个参数的值在前端通过脚本来生成的值，可以使用此Payload类型。 它的设置界面和参数比较简单，如下图所示，其中Payload位置的索引值就是指向图中Payload set的值。

（参考：第八章 如何使用Burp Intruder · burpsuite实战指南）

4.3 Payload 位置和攻击类型

1. Payload位置的设置是基于Http请求的原始消息作为母板，使用一对 §字符来标记出Payload的位置，在这两个号直接包含了母板文本内容。发起攻击时，Burp Intruder 就把一个Payload值放置到给出的特殊位置上，替换 §符号标示的整个位置。

1. 1. 【Add §】——在当前光标的位置添加一个Payload位置标志
   2. 【Clear §】——清除所有Payload位置标志或者清除选中的Payload位置标志
   3. 【Auto §】——对消息内容中可能需要标志的参数做一个猜测，标志为Payload位置，自动设置完之后再做人工的选择，确定哪些位置是需要传入Payload的
   4. 【Refresh】——刷新消息内容中带有颜色的部分
   5. 【Clear】——清除消息编辑器中所有内容
2. 在消息编辑器的上方，有一个下拉选择框，攻击类型（Attack Type）。Burp Intruder支持使用Payload进行多种方式的模拟攻击，目前只要有以下4种。
   1. 狙击手模式（Sniper）——它使用一组Payload集合，依次替换Payload位置上（一次攻击只能使用一个Payload位置）被§标志的文本（而没有被§标志的文本将不受影响），对服务器端进行请求，通常用于测试请求参数是否存在漏洞。
   2. 攻城锤模式（Battering ram）——它使用单一的Payload集合，依次替换Payload位置上被§标志的文本（而没有被§标志的文本将不受影响），对服务器端进行请求，与狙击手模式的区别在于，如果有多个参数且都为Payload位置标志时，使用的Payload值是相同的，而狙击手模式只能使用一个Payload位置标志。
   3. 草叉模式（Pitchfork ）——它可以使用多组Payload集合，在每一个不同的Payload标志位置上（最多20个），遍历所有的Payload。举例来说，如果有两个Payload标志位置，第一个Payload值为A和B，第二个Payload值为C和D，则发起攻击时，将共发起两次攻击，第一次使用的Payload分别为A和C，第二次使用的Payload分别为B和D。
   4. 集束炸弹模式（Cluster bomb） 它可以使用多组Payload集合，在每一个不同的Payload标志位置上（最多20个），依次遍历所有的Payload。它与草叉模式的主要区别在于，执行的Payload数据Payload组的乘积。举例来说，如果有两个Payload标志位置，第一个Payload值为A和B，第二个Payload值为C和D，则发起攻击时，将共发起四次攻击，第一次使用的Payload分别为A和C，第二次使用的Payload分别为A和D，第三次使用的Payload分别为B和C，第四次使用的Payload分别为B和D。

4.4 可选项设置（Options）

可选项设置主要包括请求消息头设置、请求引擎设置、攻击结果设置、grep match, grep extract, grep payloads,以及重定向设置。

1. 请求消息头设置（Request Headers）——这个设置主要用来控制请求消息的头部信息
2. 请求引擎设置（Request Engine）——这个设置主要用来控制Burp Intruder攻击，合理地使用这些参数能更加有效地完成攻击过程。
3. 攻击结果设置（Attack Results）——这个设置主要用来控制从攻击结果中抓取哪些信息。
4. Grep Match——这个设置主要用来从响应消息中提取结果项，如果匹配，则在攻击结果中添加的新列中标明，便于排序和数据提取。
5. Grep Extract——这些设置可用于提取响应消息中的有用信息。
6. Grep Payloads——这些设置可用于提取响应消息中是否包含Payload的值，
7. 重定向（Redirections）——这些设置主要是用来控制执行攻击时Burp如何处理重定向，在实际使用中往往是必须遵循重定向，才能实现你的攻击目的。

4.5 Intruder 攻击和结果分析

无论是哪种方式的攻击发起，Burp都将弹出攻击结果界面。在攻击的过程中，你也可以修改攻击配置，或者做其他的操作。攻击结果的界面如下图所示：

1. 菜单区 包含Attack菜单、Save菜单、Columns菜单。
2. 过滤器 ——可以通过查询条件、服务器响应的状态码、注释过Payload执行结果消息记录区的信息进行过滤。
3. Payload执行结果消息记录区，又称结果列表（Results Table），记录Payload执行时请求和响应的所有信息
4. 请求/响应消息区

持续更新，见BurpSuite的使用（下）

https://blog.csdn.net/weixin_48064852/article/details/139898320?spm=1001.2014.3001.5501https://blog.csdn.net/weixin_48064852/article/details/139898320?spm=1001.2014.3001.5501

参考：

Burp Suite使用介绍（一） | WooYun知识库

BurpSuite使用详解（二）Target功能_burpsuite中target的安全提示在哪显示-CSDN博客

【2024版】最新BurpSuit的使用教程（非常详细）零基础入门到精通，看一篇就够了！让你挖洞事半功倍！_burpsuite使用教程-CSDN博客

引子 · burpsuite实战指南

新版抓包神器 Burp Suite 2020 找不到 spider模块？_burpsuite没有spider模块-CSDN博客