声明:技术仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。
BurpSuite 是什么
BurpSuite 是一款面向 Web 应用程序攻击的综合性平台,内部集成了多种实用工具。平台为这些工具设计了便捷的交互接口,极大地提升了攻击应用程序时的操作效率。而且,所有工具都能共享同一请求,并对 HTTP 消息处理、持久性、认证、代理、日志记录、警报推送等功能提供支持。
如何获取 BurpSuite
- 官网下载
访问官网https://portswigger.net,点击 “Products”,从众多软件产品中选择所需的 BurpSuite。该工具分为免费版和付费版,免费版对初学者而言,功能基本够用;若追求更多高级功能,可考虑购买专业版。
2、点击Download,选择自己需要的版本、操作系统,点下载。
BurpSuite安装
1、BurpSuite 运行依赖 Java 环境,安装前需提前安装 JDK 并配置好环境变量。具体配置方法,可通过百度搜索获取。配置完成后,在 CMD 窗口输入 “java -version”,以此检查 Java 环境是否配置成功。。
2、双击下载好的 BurpSuite 安装包,自定义安装目录后,按照提示一路点击 “下一步”。
3、安装完成后,进入安装目录,找到 “BurpSuiteCommunity.exe”,双击即可启动。
4、依照界面提示,逐步点击 “下一步”,直至进入工具操作界面。
Firefox浏览器SwitchyOmega插件
1、在 Firefox 浏览器的 “扩展 - 管理扩展” 中,搜索 “SwitchyOmega”,并进行添加。
2、添加成功后,打开插件,点击 “选项”。在新建界面完成相关配置后,点击 “应用选项”。
4、在新建界面,进行如下配置,点击“应用选项”
BurpSuite操作界面基本介绍
Proxy: 这是一个 HTTP/S 拦截代理服务器,它在浏览器与目标应用程序间充当中间人角色,可实现对双向原始数据流的拦截、查看与修改
Spider:作为一款具备智能感应能力的网络爬虫,它能够完整地枚举应用程序的内容与功能。
Scanner(专业版专属):该工具功能高级,运行后可自动检测 Web 应用程序的安全漏洞
Intruder:这是一款高度可定制的工具,主要用于对 Web 应用程序开展自动化攻击。比如枚举标识符、收集有用数据,以及运用模糊测试技术探测常见漏洞
Sequencer:一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder:一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer: 一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
BurpSuite抓取https流量
有些网站是https请求,需要安装证书后,burpsuite才能抓取到https流量:1、找到Proxy->Proxy settings,点击“lmport /export CA certificate”,导出证书
2、选择第一个,点击下一步
3、选择文件目录,并命名为burpsuite.cer, 点击Next,导出成功
4、打开 Firefox 浏览器选项,找到 “查看证书” 功能,导入之前导出的证书文件。
BurpSuite密码爆破实操
1、使用浏览器访问网站(建议选择自行搭建的靶场或已获授权的项目进行练习),并启动代理。
2、打开 BurpSuite,进入 “Proxy -> Intercept”,点击 “Intercept is off”。
3、进行登录操作,输入用户名 “admin”,随意输入密码,点击 “Login”,此时可在 BurpSuite 中看到拦截的登录信息。右键点击拦截到的登录信息界面,选择 “Send to Intruder”。
4、切换到 Intruder 模块,在 “Positions” 页面选择攻击类型,选中需暴力破解的密码字段,点击 “Adds”。
5、在 “Payloads” 页面,将负载编号设为 1,负载类型选择 “Simple list”,点击 “Load”,从本地选择密码字典文件,点击 “Start atack” 开始暴力破解,期间会弹出提示,告知专业版功能更全面
6、查看密码暴力破解结果,找到 “password” 行,若其 “Length” 长度与其他行不一致,点击查看返回结果,在 “Render” 页面若回显 “Welcom …”,则表明 “password” 为正确密码,登录成功。
BurpSuite支付漏洞实践
1、针对软件的支付、充值、兑换等功能,可通过抓包分析操作流程,判断是否存在可修改的敏感信息,访问待测支付界面(仅为演示示例),填入订单数据,但暂不进行购买操作。
2、在 BurpSuite 中,进入 “Proxy -> Intercept”,点击 “Intercept is off”,开启数据截获功能。然后在支付界面点击 “立即购买”,此时可捕获相关数据
3、修改捕获数据中的敏感数据,如将 “price=5”,点击 “Intercept is on”。
4、若网站支付终止,说明篡改金额未成功;若篡改成功,则表明该网站存在支付漏洞。
声明:技术文章均收集于互联网,仅作为本人学习、记录使用。侵权删!!!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...