前言
Burp Suite(burpsuit官网) 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。
它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。
一、安装配置
1.1 环境
>jdk1.8
burpsuite_pro_v1.7.11.jar
burploader-crack.jar
1.7环境过时了 ssl证书已无法绕过 所以使用2022版本自带浏览器可以绕过
如果机器上同时安装了其他版本的jdk,请使用1.8对应的java.exe -jar burploader-crack.jar命令来启动burploader-crack.jar
> 私信获得下载地址
burpsuite_pro_v2022.1.1.jar
BurpCrack.jar
1.2 安装过程
- 双击burpsuite_pro_v2022.1.1.jar运行
- 或者执行命令 java.exe -jar burpsuite_pro_v2022.1.1.jar
或者直接运行BurpSuiteLoader.bat
1.3 科技过程
可参考此处
简要分为几步:
通过 BurpCrack.jar 科技绕过使用(拿到requestCode 生成responseCode,具体不会科技的,可私信)
通过BurpSuiteLoader.bat启动burpsuite_pro_v2022.1.1.jar
问题:burpsuit to run burp suite using java 17+
主要就是BurpSuiteLoader.bat添加 --add-opens等,修改后内容如下:
@echo off start "burpsuite" /B "javaw.exe" --illegal-access=permit -Xmx8G -XX:-UseParallelGC -noverify --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED -javaagent:BurpSuiteLoader_v2022.1.1.jar -Dfile.encoding=utf-8 -jar "burpsuite_pro_v2022.1.1.jar" pause
二、常用功能
常用功能包括:
- 漏扫
- 抓包
- 暴力破解
- 重放
2.1 Manual penetration testing features
特征:
- 拦截所有你能在浏览器上看到的
Intercept everything your browser sees:A powerful proxy/history lets you modify all HTTP(S) communications passing through your browser.
拦截所有你能在浏览器上看到的:一个强大的代理/历史可以修改所有通过您的浏览器的HTTP (S)通信。
- 管理侦察数据
Manage recon data: All target data is aggregated and stored in a target site map - with filtering and annotation functions.
管理侦察数据:
- Expose hidden attack surface
- Test for clickjacking attacks
- Work with WebSockets
- Break HTTPS effectively
- Manually test for out-of-band vulnerabilities
- Speed up granular workflows
- Quickly assess your target
- Assess token strength
2.2 Advanced/custom automated attacks
2.3 Automated scanning for vulnerabilities
2.4 Productivity tools
2.5 Extensions
