一、下载
1.云盘下载地址:链接:https://pan.baidu.com/s/11D2NWKD4JYquIv6Axkto5g
提取码:wbp7
2.下载完成将压缩包解压至方便自己查找的位置
二、简介
1、Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。(来自百度百科)
2、Burp Suite 能高效率地与多个工具一起工作,例如:
一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。(来自百度百科)
3、在一个工具处理HTTP请求和响应时,它可以选择调用其他任意的Burp工具。例如:
代理记录的请求可被Intruder用来构造一个自定义的自动攻击的准则,也可被Repeater用来手动攻击,也可被Scanner用来分析漏洞,或者被Spider(网络爬虫)用来自动搜索内容。应用程序可以是“被动地”运行,而不是产生大量的自动请求。Burp Proxy把所有通过的请求和响应解析为连接和形式,同时站点地图也相应地更新。由于完全的控制了每一个请求,你就可以以一种非入侵的方式来探测敏感的应用程序。(来自百度百科)
4、当你浏览网页(这取决于定义的目标范围)时,通过自动扫描经过代理的请求就能发现安全漏洞。(来自百度百科)
5、IburpExtender是用来扩展Burp Suite和单个工具的功能。一个工具处理的数据结果,可以被其他工具随意的使用,并产生相应的结果。(来自百度百科)
三、工具箱
1、Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。(来自百度百科)
2、Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。(来自百度百科)
3、Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web应用程序的安全漏洞。(来自百度百科)
4、Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing技术探测常规漏洞。(来自百度百科)
5、Repeater——是一个靠手动操作来补发单独的HTTP请求,并分析应用程序响应的工具。(来自百度百科)
6、Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。(来自百度百科)
7、Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。(来自百度百科)
8、Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的差异。(来自百度百科)
四、安装
工具运行需Java环境,请自行安装,此处不做说明。
1、解压完成后右键点击burp-loader-keygen.jar,以Java™Platform SE binary的方式打开
2、修改License Text为任意值
3、点击Run启动Burp Suite
注:如果上述方式没有成功启动Burp Suite,打开cmd,进入burp-loader-keygen.jar所在目录,执行命令:java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar
4、打开Burp Suite成功
5、将Keygen中License复制粘贴到Burp Suite中,然后点击Next
6、点击Manual activation
7、点击Copy request
8、点击Copy request,复制完成之后,将字符串粘贴到Keygen的Activation Response框中就有了结果,如下:
9、复制完后,将字符串粘贴到Burp Suite剩下的那个框里,如图,再点击Next显示激活成功
10、再点击Next显示激活成功
10.1、然后点击Next
10.2、再点击Start Burp
11、以下为Burp Suite主界面
12、激活之后,不能通过双击Burp Suite主程序来启动,否则启动之后还是需要输入key,两个文件必须放在一个目录下,启动方式有两种:
12.1、通过Keygen上的Run按钮来启动
12.2、在文件目录下执行java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar来启动。为了方便,可以将命令保存为一个bat
2174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
