实验目的
通过本实验理解Burpsuite工具代理抓包功能的配置方法,掌握如何利用Burpsuite工具查看request和response信息,熟悉Burpsuite常见功能的使用方法。
实验环境
Burpsuite软件操作平台
工具:Burpsuite软件、Firefox浏览器
目标网站:upload-labs网站
实验原理
Burpsuite是用于攻击web 应用程序的集成平台,包含了许多工具。Proxy是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Repeater是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
实验步骤
第一步 启动Burpsuite
点击“next”后选择启动“Start Burp”
第二步 配置Burpsuite的监听参数
Burpsuite启动后,在“Proxy”-“options”菜单下配置“Proxy Listeners”
(1) 使用Edit菜单进行修改
(2) 有时8080端口会与tomcat等服务的默认端口冲突,自定义为8090,然后点“OK”生效。
(3)同时设置将server端的responses的数据也进行代理抓包,在如下图处打勾。
第三步 配置Firefox的代理功能
(1)打开Firefox浏览器,找到“选项”配置界面,使用“常规”下的“网络代理”进行配置
(2)点击“网络代理”的设置,在如图界面下进行配置,最后点击“确定”。注意此处设置的端口与Burpsuite保持一致。
第四步 正常访问uoload-labs平台
在上传漏洞训练平台虚拟机上按顺序执行下图两步,开启网址
(1)复制桌面上的 upload-labs-env文件夹到D盘根目录
(2)进行启动
(3)先关闭burpuit代理功能,访问upload-labs网站
第五步 启动代理方式访问uoload-labs平台
(1)再开启Burpsuite代理功能,访问upload-labs网站。使用代理抓包成功。
(2)点击右键选择“Send to Repeater”,然后点击“go”可以看到提交到web服务器端的状态与web服务器返回的信息
思考与总结
通过本次实验,成功实现了Burpsuite代理方式如何截获request和response数据包的过程,掌握如何借助Burpsuite结合Web漏洞进行攻击的前期基础知识准备。
