[工具使用]BurpSuite(上)

简介: [工具使用]BurpSuite

[工具使用]BurpSuite

Proxy模块

Repeater模块

Intruder模块

单点爆破

多点爆破

Spider模块

拦截特定网站

Scanner模块

主动扫描

被动扫描

Squencer模块

Comparer模块

BurpSuit和SqlMap联动


Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

首先推荐一款火狐中的插件 FoxyProxy

image.png

Proxy模块

作用:代理

默认是8080端口,我们也可以修改。

image.png

我选用的是火狐,我们需要在火狐中进行设置

image.png

image.png

image.png

image.png

在配置完成后如上图,Proxy中 Intercept is on就是开启了拦截,所有流量必须经过BP放行页面才会有显示。

image.png

如上图,Proxy中,Intercept is on关闭来接,但是流量包仍然会经过bp,并在HTTP History中显示。

我们用csdn做示例来讲解,现在Intercept is on 刷新csdn,bp就会拦截下数据包,下面会有4个选项

1、Raw:请求数据包

2、Params:请求数据包的参数信息,eg:post/get/cookie等信息

3、Headers:请求包头部信息

4、Hex:请求数据包信息的二进制内容


image.png

image.png

Repeater模块

作用:修改数据包中数据,重放

我们来抓一个包看看,然后鼠标右键—>Send to Repeater发送到重发模块。

image.png

在Repeater目标左边,是我们的请求数据包,我们可以修改请求数据包中的数据,修改完成之后点击Go,将数据包发出去,右侧就是服务器给我们的响应。

image.png

Intruder模块

作用:爆破

Intruder模块分为4个选项

1、Target

用于配置目标服务器进行攻击的详细信息

image.png

2、Positions

设置Payload的插入点以及攻击类型


Intruder可以进行的攻击与测试组合方式真的不少,有时候不是Intruder办不到,而是你不知道原来Intruder可以办得到。


Attack-type攻击类型,这里有四种可以选择。


●Sniper(狙击枪): 对变量依次进行破解,如果有多个攻击点,则多个攻击点依次进行。只能用一份密码字典。

●Battering ram(攻城槌):对变量同时进行破解,如果有多个攻击点,多个标记点同时进行。只能用一份密码字典。

●Pitchfork(干草叉): 每一个变量标记对应一个字典,取每个字典的对应项。最少设置2处攻击点,最多设置20处攻击点。每个攻击点设置一个密码字典。

●Cluster bomb(集束炸弹): 每个变量对应一个字典,组合进行交集破解,尝试各种组合。最少设置2处攻击点,最多设置20处攻击点。适用于用户名密码的组合。

代理Proxy拦截之后,右键 Send to intruder


3、Payloads

作用:配置攻击载荷payload

image.png

image.png

image.png

4、Options

选项卡(Options tab) 此选项卡包含了request headers,request engine,attack results ,grep match,grep_extrack,grep payloads和redirections。你可以发动攻击之前,在主要Intruder的UI上编辑这些选项,大部分设置也可以在攻击时对已在运行的窗口进行修改。

image.png

image.png

image.png

image.png

image.png

image.png

image.png

单点爆破

和多点爆破相同,设置一个payload即可。

相关文章
|
6月前
|
Java
Burpsuite的安装
Burpsuite的安装
111 0
|
5月前
|
Web App开发 安全 应用服务中间件
Burpsuite工具的代理抓包功能实验
Burpsuite工具的代理抓包功能实验
|
1月前
|
安全 测试技术
Fiddler是什么软件?如何配置使用?
【10月更文挑战第3天】Fiddler是什么软件?如何配置使用?
34 3
|
1月前
|
SQL 数据采集 安全
Burpsuite测试神器使用
Burpsuite测试神器使用
|
6月前
|
Java 定位技术 网络安全
BurpSuite2020.08安装及使用
BurpSuite2020.08安装及使用
137 1
|
6月前
Burpsuite系列 -- burp2021.03安装使用
Burpsuite系列 -- burp2021.03安装使用
75 0
|
Web App开发 SQL 人工智能
抓包工具:charles安装 及 Fiddler 工具 404问题记录
Charles 是一款代理服务器,通过成为电脑或者浏览器的代理,然后截取请求和请求结果达到分析抓包的目的。
|
安全 Java 数据安全/隐私保护
BurpSuite 安装与使用
BurpSuite 安装与使用
BurpSuite 安装与使用
|
安全 中间件 应用服务中间件
|
小程序
fiddler系列之-fiddler对手机测试版本的小程序进行抓包
fiddler对手机测试版本的 http 请求的小程序进行抓包