BurpSuite--安装部署
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程
所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报
-
要求
首先Burp Suite是需要java环境的,自己安装哈(包括环境变量)
其次我主要想讲的是Burp和Google之间的联动
还有就是Burp设置代理的小工具,以及如何抓https包 -
安装
我下载的是V2.0.0.11的汉化版
接下来是Burp的一些安装步骤
以上安装完后,就可以打开Burp了
-
设置代理
然后就要设置代理(在Burp中需要设置,还有Google中也需要设置)
-
Google代理
Google有多种设置代理的方式,以下我讲两种吧
一、直接使用系统的代理
二、使用SwitchyOmega_Chromium谷歌插件 -
使用系统代理
-
使用谷歌插件
首先到扩展程序中的Chrome 网上应用店中下载SwitchyOmega_Chromium,或者直接百度搜估计也可以
-
使用
这样就可以尝试抓包试试看配置有没有出错
首先把burp的拦截打开,其次Google打开代理
-
https证书的添加
在Google中添加下载的证书
这个就需要注意下,查看下证书导入是否正确,我就有遇到过,导入是成功的,但是问题是错误证书,导致抓不到包,一直报错
最后才找到是证书问题,重新导入了才可以正常使用
至此说明我们的配置是没问题的
burp已经可以正常抓到http和https的报文啦
小伙伴们可以快乐的开始玩耍啦!!!
-
介绍一些Burp中的基本功能使用吧
-
Proxy——intercept(代理——截断)
我们对报文进行任意的修改,并且发送
然后也可以使用右键,和其他功能进行联动
-
intruder(测试器)
这个是测试器,首先需要从截断把报文发送过来,然后使用测试器,对其中的参数进行标记,然后对其进行字典爆破
我们先了解两个模式,狙击手和集束炸弹
一、狙击手就是一个位置对应一个字典,一对一的
二、集束炸弹就是选择两个需要测试的点,然后选择两个字典,一一对一
测试器经常用来爆破密码等
用法是我们先清除burp自动标记的点,然后选择报文中你需要测试的位置,点击添加,然后设置一些字典和参数,图中有详细的讲解
最后点击开始攻击,就等待结果了
-
另外分享一个小技巧
如果没有参数需要爆破,但是又想要测试多次请求网站是否可以承受得住,可以使用这种方式
这样就可以一直连接
-
Repeater(重发器)
重发器的作用也是修改报文,不过功能上比截断的丰富,自行挖掘吧
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 没有源码,如何修改代码逻辑?
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· NetPad:一个.NET开源、跨平台的C#编辑器