Burp Suite入门

Burpsuite

Burp Suite是一个Web应用程序集成攻击平台，它包含了一系列burp工具，这些工具之间有大量接口可以互相通信，这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架，以便统一处理HTTP请求，持久性，认证，上游代理，日志记录，报警和可扩展性。 Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。这些不同的burp工具通过协同工作，有效的分享信息，支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。

下面以burp suite v1.7做简单使用介绍。

安装

• 安装jdk

Burp Suite是一个用Java语言开发的jar包，下载完成后，直接从命令行启用即可（科学安装专业版可自行网上搜索）。Burp Suite运行时依赖于JRE且jdk版本不能低于1.5，这里建议安装jdk8，下载地址 https://www.oracle.com/java/technologies/downloads/#java8

• 启动

  Java –jar burpsuite_pro_v1.7.37.jar
  

  

基础配置

• burp suite启用代理

  支持在请求发起前拦截、服务端返回后拦截，支持多种拦截规则

  

• 浏览器代理配置

  此处以Firefox浏览器为例，设置→搜索“代理”→配置手动代理（和burp suite配置一致即可）

  

请求拦截&修改响应

• 浏览器发起请求，拦截请求参数并修改

修改响应信息

此时浏览器的响应已被串改

原始响应&已编辑响应

暴力破解

暴力破解有四种模式，可自行查询相关资料，这里仅作基础示例介绍。

• 添加破解对象

  选择登录接口添加至破解模块

此处仅有账号密码需要破解，则修改参数仅保留账号密码

• 配置参数域

配置后点击开始破解

通过观察请求状态或返回数据长度判断是否成功

则获得了正确的账号密码admin/admin

漏洞扫描

分为主动扫描和被动扫描，区别可自行搜索相关资料，此处仅作自动扫描。