Burpsuite介紹:
一款可以進行再WEB應用程序的集成攻擊測試平台。
常用的功能:
抓包、重放、爆破
1.使用Burp進行抓包
這邊抓包,推薦360瀏覽器7.1版本(原因:方便)
在瀏覽器設置代理:
360瀏覽器:工具->代理服務器->代理服務器設置
設置好代理:127.0.0.1:8080 -> 確定
Burpsuite下載:
(這邊說下,Burpsuite原為收費,打開的時候使用已經破解的補丁就可以正常使用,就是如下的正確打開方式)
打開BurpLoader.jar 進行監聽設置:
Proxy->Options
我們再仔細看下:
Interface 設置要跟前面瀏覽器設置的代理服務器一樣。
Running 一定要打勾才可以監聽。
開始抓包:
360瀏覽器設置:
Burp設置:
這樣在瀏覽器進行操作就可以抓到包:
可以直接在Raw這進行修改包的內容,最后要讓包正常傳遞過去,點擊Forward即可。
不要這個包,點擊Drop,就可以丟棄。
進行重放包:
鼠標對着Raw的內容右擊,最后單擊Send To Repeater
之后,你會發現這樣的情況:
只需要點擊Repeater進入重放功能模塊。
想要重放點擊Go就可以,從頁面可以看到左邊是我們抓到的包,右邊是包返回的結果。
進行爆破:
跟上面重放是一樣的,右擊Raw的內容,點擊Send to Intruder
之后也會出現Intruder變黃色。還是跟重放一樣,進去爆破功能模塊。
設置爆破的參數:
進入后,先點擊Clear $
把要爆破的參數后面的值選中,點擊Add $
設置好后,進行字典的設置。
點擊Load可以載入你自己的字典。
如果要爆破4位數的字典或者5位數的(純數字),不必自己生成字典,用Burp自帶的字典:
在進行設置:
最后要爆破的時候,點擊Start attack
雙參數爆破:
兩個參數設置。
再分別進行字典的導入:
