【BurpSuite】初学笔记之Repeater

已于 2023-02-26 21:25:27 修改
阅读量5k 收藏 14
点赞数 8
分类专栏: CTF 文章标签: 安全 web安全
于 2021-08-20 20:47:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52553215/article/details/119726241
版权

应用:

在渗透测试中,进行请求与响应的消息验证分析。如修改请求参数,验证输入的漏洞与逻辑越权;从拦截历史记录中,捕获特征性的请求消息进行请求重放。

功能:

修改和重放http请求,如尝试手工注入,文件上传黑名单的测试等。

基本使用:

一:首先需要抓取一个http请求(历史记录):

1.关掉拦截:Proxy--Intercept--点击Intercept is on将其改为Intercept is off

2.打开浏览器(我用的火狐),查看代理是否设置完好:设置--网络设置--连接设置--手动配置代理--http代理:127.0.0.1        端口:8080

3.访问网站

4.查看bp是否抓取到所对应的请求:Proxy--HTTP history--URL

二:将请求发送到Repeater模块:Proxy--HTTP history--目标Host--右键send to repeater

三:查看Repeater模块:Repeater--Request--Raw(原始的请求):可修改

                                                                                --Params(列表化形式的参数)

                                                                                --Headers

                                                                                --Hex:可修改

        修改完点击Go,返回Response(请求重放),我们可以发现Response中HTML与Render(页面渲染)均已改变。

实战常用功能(注入):

一:寻找注入点:

 id--注入参数

 一:打开bp:Proxy--HTTP history--Host--右键Send to Repeater

二:查看id为1的时候的响应

 三:在注入点添加注入请求语句(进行联合查询/分段查询):

1.修改id为2,查看响应。 

 2.注意不能在原始请求里面直接加语句:

如:(查询字段数)

 可以看到Response中 当前查询语句并没有代入order by 1,这么做是无效的。

3.在Params中修改:修改Value为1 order by 1,点击Go

 可以看到order by 1已经带入查询且返回正常

在Value里修改1分别为2,3发现返回正常,直到改为4时:

 说明一共有三个字段

4.接下来可进行union的人工查询:修改Value为1 union select 1,2,3--Go

第一个显示位:用户ID : 1

第二个显示位:用户账号 : 2

第三个显示位:用户密码 : 3

5.把1,2,3换成想要查询的变量:

如(改为version)

 可知MySQL版本为5.5.40

改为user()         得root@localhost

改为@@basedir(根目录)    得C:/Program Files/......./MySQL/

可选设置选项:最上方Repeater

 1.自动更新请求的Content-Length

2.控制解压,压缩

3.是否跟随服务器进行跳转

 4.若选中,则在跳转过程中设置cookies信息

5.Repeater视图布局

 6.其他操作

 学习自i春秋网站:【i春秋】-专注网络安全_信息安全_白帽子的在线学习_教育_培训平台

萌新初学,如有任何问题请多多指教

轻闲一号机
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
抓包工具 -- burpsuite(Repeater功能)
weixin_41489908的博客
11-29 4280
一、安装java环境 二、下载burpsuite 三、运行后的界面 四、我们点击Proxy模块,查看Options信息,记住这个代理地址和端口 五、打开浏览器(360),设置代理 六、返回burpsuite软件,点击intercept,确保是开启状态 七、打开浏览器,输入我们想要访问的网址,回车,访问被拦截下来, 八、右击下面的流信息,send to Repeater 这时,我们就可以...
Burpsuite——Repeater
ve9etable的博客
08-28 2287
模块简介 用于手动操作和重新发布单个 HTTP 和 WebSocket 消息,以及分析应用程序的响应。可以将 Repeater 用于各种目的,例如更改参数值以测试基于输入的漏洞,以特定顺序发出请求以测试逻辑缺陷以及重新发出请求以手动验证报告的问题。 其操作界面如图所示,包括请求与响应 模块使用 首先需要设置代理,然后抓包 在想要分析的内容中点击鼠标右键→send to repeater 我们可以更改其中一些内容,并发送查看响应比如我们更改connection为open,点击send,..
第二课,从bp(Burp suite)抓包开始_bp捉包(2),2024年最新2024最新阿里网络安全面试流程
最新发布
2401_83739472的博客
04-21 899
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!Pitchfork:将每个字典逐一对称匹配,例如A字典的1号位与B字典的1号位匹配,绝不相交匹配。Battering ram:将数据同时填充到多个指定位置,例A字典的数据同时填充到两个位置。Cluster bomb:将每个字典逐一交叉匹配,例如A字典的所有位与B字典的所有位都匹配。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
BurpSuite2021 -- 重发模块(Repeater)
weixin_41489908的博客
06-06 2759
​开朗是装的,懂事是装的,跟谁都合得来都是装的,只有我自己知道,自卑是真的,难过也是真的。。。 ---- 网易云热评 一、抓取数据包,三种方式发送到Repeater模块,发送过去Repeater会高亮显示 1、右击数据包sendtorepeater 2、快捷键Ctrl+r,直接发送到Repeater模块 3、点击Action,sendtorepeater 二、Repeater模块介绍 1、send:将数据包发送出去 2、cancel:取消发送 3、左右箭头:如果将数...
BurpSuite系列(六)----Repeater模块(中继器)
热门推荐
fendo
01-29 2万+
一、简介 Burp Repeater 是一个手动修改并补发个别 HTTP 请求,并分析他们的响应的工具。它最大的用途就是和其他 Burp Suite 工具结合起来。你可以从目标站点地图,从 Burp Proxy 浏览记录,或者从 Burp Intruder 攻击结果上的请求,发送到 Repeater 上,并手动调整这个请求来微调对漏洞的探测或攻击。 二、模块说明
1-14 Burpsuite Repeater介绍
山兔的博客
12-03 2278
Burpsuite Repeater 介绍 重放模块 Burp Repeater作为Burp Suite中一款手工验证HTTP消息的测试工具,极大的方便了我们手工验证的模式,通常用于多次重放请求、响应和手工修改请求消息,以及修改后对服务器端响应的消息分析 一个请求页面一个响应页面 目标、时间、字节数都会告诉我们 下面也可以搜索请求和响应具体的值 通过go这个按钮,点击发送请求,才会发送到服务器端,服务器端才会进行响应 实战演示 打开DVWA靶场 打开BP截断 将截断的消息,发送到Repeater模块
BurpSuite2021系列(七)Repeater详解
46的十哥哥的5哥哥
07-26 2641
本文视频版在B站:https://www.bilibili.com/video/BV1aq4y1X7oE?p=7 视频版更加详细,涉及各个参数讲解。 前言 Burp Repeater作为Burp Suite中一款手工验证HTTP消息的测试工具,通常用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析。本章我们主要学习的内容有: Repeater的使用 可选项设置(Options) Repeater的使用 在渗透测试过程中,我们经常使用Repeater来进行请求与响应的消息验证分析,比
burpsuit教程汉化+Repeater(非常详细),从零基础入门到精通,看完这一篇就够了
A_991128a的博客
06-24 1695
Repeater(中继器)模块支持手动修改数据包并重新发送 HTTP 请求,同时还提供了历史记录方便分析数据包。可以通过手动调整HTTP请求来测试目标系统。
5.Burp Suite 入门篇 —— Burp Repeater 重放请求
YouTheFreedom的博客
04-10 1344
本篇文章会教你如何使用 Burp Repeater 重放特定请求。挖掘漏洞时,重放请求可以帮助我们研究用户输入不同参数时对目标网站的影响,也不需要每次都靠点击页面拦截请求实现。
BurpSuite手册-003-使用Burp Repeater重新发出请求
06-24
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
BurpSuite手册-006-Burp Repeater
06-24
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
2024年Burpsuite超详细安装教程.zipburpsuite安装详细教程### 内容概要 本博客为初学者提供了一个关于B
03-10
本博客为初学者提供了一个关于Burpsuite安装的超详细教程。从Burpsuite的介绍和特点开始,逐步介绍了如何安装Burpsuite,包括安装Java、下载Burpsuite、解压并运行Burpsuite。博客还提供了验证Burpsuite安装是否成功...
BurpSuite之HaE插件配置文件
01-30
HaE是BurpSuite敏感信息标记插件,官方下载地址为: https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
本教程将针对初学者,详细讲解如何使用Burpsuite来拦截浏览器请求,修改请求参数,以及查看返回结果。 首先,让我们了解什么是HTTP代理。HTTP代理是网络通信的一种方式,它作为一个中介服务器,接收来自客户端的...
Burpsuite各个模块详细使用---上
Blue的博客
08-30 1355
Repeater模块(中继器) 一、简介 Burp Repeater 是一个手动修改并补发个别 HTTP 请求,并分析他们的响应的工具。它最大的用途就是和其他 Burp Suite 工具结合起来。你可以从目标站点地图,从 Burp Proxy 浏览记录,或者从 Burp Intruder 攻击结果上的请求,发送到 Repeater 上,并手动调整这个请求来微调对漏洞的探测或攻击。 二、模块说明 1.可以从Proxy history、site map、Scanner等模块中右键菜单send t
Burpsuite在重发器添加我所要的内容后发送没反应
2201_75437983的博客
08-25 934
就比如说有一些题你是要爆破密码,那么你抓包时点击的关键地方是输入账号密码后的那个登录按钮,而不是最开始那个进入题目的链接,如果抓包错误的话,会有一些需要修改关键信息你没有。还有一些题是两个页面,你所抓包的数据包只是其中一个,如果你抓成另外一个,可能你的题就做不出来了。就比如这个题,我所添加的是password=404a,添加以后发送后,响应没有出现预期的改变。,就意味着工具至于前面出现的content-length:17是它自动出来的,这个不用管它。你要关注你所抓包到的数据包是不是你所需要的数据包。
BurpSuite实战九之使用Burp Repeater
悦分享
06-11 1415
Burp Repeater作为Burp Suite中一款手工验证HTTP消息的测试工具,通常用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析。本章我们主要学习的内容有:Repeater的使用可选项设置(Options)Repeater的使用在渗透测试过程中,我们经常使用Repeater来进行请求与响应的消息验证分析,比如修改请求参数,验证输入的漏洞;修改请求参数,验证逻辑越权;从拦截历史记录中,捕获特征性的请求消息进行请求重放。Burp Repeater的操作界面如下图所示:请求消息区
burpsuite+repeater
01-18
Burp Repeater是Burp Suite中的一个工具,用于手动修改和重新发送HTTP请求,并分析其响应。它可以与其他Burp Suite工具结合使用,例如目标站点地图、Burp Proxy浏览记录或Burp Intruder攻击结果上的请求。通过使用Burp Repeater,您可以手动调整请求以微调对漏洞的探测或攻击。 在使用Burp Repeater之前,您需要先设置代理。以下是设置Burp Suite代理的步骤: 1. 打开Burp Suite并导航到Proxy选项卡。 2. 在Proxy选项卡中,确保Intercept子选项卡处于活动状态。 3. 在Intercept子选项卡中,将Intercept状态设置为"On"。 4. 根据需要配置其他代理选项,例如代理监听端口等。 5. 配置您的浏览器或其他应用程序以使用Burp Suite作为代理。 完成以上步骤后,您可以开始使用Burp Repeater。以下是使用Burp Repeater的一些常见操作: 1. 选择一个请求:从目标站点地图、Burp Proxy浏览记录或Burp Intruder攻击结果中选择一个请求,然后右键单击该请求并选择"Send to Repeater"。 2. 修改请求:在Repeater窗口中,您可以手动修改请求的各个部分,例如URL、请求方法、请求头和请求体等。 3. 发送请求:在修改完请求后,单击"Go"按钮以发送请求。 4. 分析响应:在Repeater窗口中,您可以查看服务器的响应,并分析响应的各个部分,例如响应头、响应体和响应状态码等。 5. 进行微调:根据需要,您可以继续修改请求并重新发送,以微调对漏洞的探测或攻击。 通过使用Burp Repeater,您可以更加灵活地控制和调整HTTP请求,以满足您的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值