大家好,我是幻天,今天应各位小同伴的请求给大家带来burp suite的运用教程
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具经过协同工作,有效的分享信息,支持以某种工具中的信息为根底供另一种工具运用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。一切的工具都共享一个能处置并显现HTTP 音讯,耐久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做平安性浸透测试,那么我们今天就从工具的运用上为大家停止教学
正文
首先我们讲一下burpsuite的装置,
普通版的能够直接在burpsuite的官网停止下载,但是个人倡议专业版,但是由于收费的缘由,所以希望大家自行寻觅
那么我们如今进入burpsuite的主界面
我们翻开是这样的,只需求单击下一步然后单击StartBurp就能够进入burpsuite了
我们如今看到了burpsuite的主界面
那么我们先对模块停止一个简单的引见,我们常用的模块有Proxy Spider Scanner Intruder Repeater Decoder
下面先从Proxy开端引见并停止最简单的实操
这就是Proxy的主界面我们能够看到他分为几个版块我们从这4个板块开端讲起
Intercept
整个burp suite的运用最多的我以为就是这个位置,不多说,我们来实操完成第一个数据包的抓取
我们点击Options
默许是127.0.0.1:8080假如你的没有本人设置的话,那就添加就好了
我们翻开阅读器,这里我引荐firefox,我们在设置里面点开高级,单击网络
之后在点击设置,这是会弹出一个窗口
我们默许是不运用代理的但是我们做一个修正就能够了,点击手动配置代理之后修正http代理为127.0.0.1端口为8080
然后我们就能够抓取第一个恳求包了,到这里我们的第一局部算是胜利的完成
这里我们发现我们只能抓到http的包,抓不到https的,那么我如今为大家演示https的配置
首先我们访问127.0.0.1:8080
我们保管CA证书在burpsuie的设置内导入
点击查看证书然后在机构这个位置导入我们的证书就能够了
那么我们如今就对Proxy这个版块停止一次解说吧
这四个模块分别是"截断恳求","HTTP历史""Stokets历史""选项"
下面我们来看一下intercept这个窗口,为了便当演示我们抓取访问百度的恳求
Forward:将恳求包发送
Drop:丢掉恳求包
Intercept is on/off:截断的开关
Action对恳求包的一些操作
我们对包体的任何修正都能够在这个窗口内停止直接修正,然后发送
我们这里要引见一下Action这个按钮
这是几个功用我们暂且不论平常我们经常用的保管文件等操作,前7个包括Do Active scan都是我们对包体的操作,会直接把恳求发送给你制定的模块,这也给我们带来了很大的放遍,比方我们能够对数据包停止重放等操作,
然后就是我们的Copy as curl command能够直接生成一个curl的命令是比拟有用的功用,然后就是我们的Engagement tools中的csrf poc生成,我在前面的文章提过这个工具可以给我们免去很多不用要的工作,几乎是必备神器
然后我们要引见一下包体的查看形式一共分为4种,我们正常时运用Raw形式还有Params形式也就是以参数为主题的形式
我们能够在右边对参数停止增删挪动
第三个是haeder模块这个就是我们的恳求头
和我们的Params模块很像
第四个是Hex形式也就是以16进制的方式查看我们的数据
那么如上就是我们的Intercept模块了
下面我们引见http history模块
这个模块里面是我们翻开burpsuite代理以来一切的http恳求,我们有时分考证破绽胜利了但是复现不胜利这种场景都能够在这里面停止恳求的回看
下面我们要引见的是socket history
这里面记载这我们的socket链接记载,但是在web浸透测试过程中运用此模块比拟少
最后一个模块就是我们的options选项了
在这里我们能够设置恳求的监听和拦截截断客户段的恳求和效劳端的返回以及websocket 恳求的截断
等等很多功用
我们这里引见一下Proxy lisener
在此处我们能够修正我们监听的ip和端口,有时分我们burpsuite的恳求包截取不到可能就是由于此处有问题,端口抵触等等,我们在burpsuite的运用中每一次根本都要用到Proxy模块,希望大家可以把Proxy模块的根本学问点记住,我们在实战中能够继续练习我们的burpsuite运用,正所谓理论出真知
总结
从今天开端我们就会开端给大家更新工具类的教程了,与此同时希望各位能学习编程,进步本人的程度,经过本人的才能去开发工具,不做一个只会运用他人工具的"脚本小子"
