Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击
Burp Suite 是用于攻击Web应用的集成平台,这个平台集成了许多工具。如何使用它来破解一些网站的密码。首先我们查看一个需要用户名和密码的登录界面(这个实例使用了经典的Web渗透测试平台Pikachu),如下图所示:
首先,在Kali中启动Burp Suite这个工具,如下图所示:
Burp Suite在这里的主要作用是在用户使用的浏览器和目标服务器之间充当一个中间人的角色。这样当我们在浏览器中输入数据之后,数据包首先会被提交到Burp Suite处,Burp Suite可以将这个数据包进行复制,修改之后再提交到服务器处。所以Burp Suite 此时相当于一个代理服务器。
首先启动Burp Suite,其工作界面如下图所示:
我们要将Burp Suite 设置为代理服务器。首先单击“Proxy”, 如下图所示:
然后切换至“Proxy”选项卡的“Option”选项下,选择“127.0.0.1:8080”,如下图所示:
现在Burp Suite成了一个工作在8080端口上的代理服务器。接下来我们就需要在浏览器中将代理服务器指定为Burp Suite。然后打开使用的 浏览器,Kali中默认的浏览器是Firefox,单击右侧的工具菜单,如下图所示:
选择“Preferences”然后在Firefox中选择“General”–>“Network Settings”–>“Settings”, 如下图所示:
请注意,每种浏览器的设置往往不一样,需要考虑具体情况。打开“Connection Settings” 对话框之后,选中“Manual proxy configuration”,在“HTTP Proxy”处输入“127.0.0.1”, 在“Port”处输入“8080”,如下图所示:
设置完成之后,单击“OK”按钮,然后我们用这个浏览器来访问目标地址,这里的目标地址为http://192.168.68.205:9999/pikachu, 因为此时浏览器中向目标服务器发送的请求都被Burp Suite所截获,所以现在服务器并没有返回任何数据。切换回Burp Suite来处理截获的数据包,通常由放行(Forward)、丢弃(Drop)、拦截(Intercept is on)、操作(Action)这几种操作。
接下文 Kali 测试:使用Burp Suite 对网络认证服务的攻击(二)https://developer.aliyun.com/article/1618754
