Burpsuite簡介
Burp Suite 是一款專業的Web和移動應用程序滲透測試工具,是用於攻擊web 應用程序的集成平台,包含了許多工具。Burp Suite為這些工具設計了許多接口,以加快攻擊應用程序的過程。所有工具都共享一個請求,並能處理對應的HTTP 消息、持久性、認證、代理、日志、警報。
Burpsuite的安裝與配置
一、安裝准備工作
1.官網提供三款:企業版、專業版(推薦)、社區版
2.專業版官網下載Burpsuite
地址:https://portswigger.net/burp/pro
這個軟件從頭到位都比較拽,下載必須用企業郵箱注冊,沒有辦法完美破解,卸載只需要1秒鍾。企業版和專業版一個價格$399,但是專業版功能最全,社區版就是鬧着玩的,企業版功能模塊較為特殊,沒有代表性,不做演示(主要是對於個人來講不划算)。因為BurpSuit是基於Java語言的,所以電腦上必須安裝jdk,並且是1.8及以上的,推薦jdk1.9。
PS:本人支持正版,建議購買正版!!!已經購買的請從Burpsuite的模塊介紹開始閱讀,其他情況的同志請接着往下看。軟件有風險,盡量在虛擬機上安裝。
二、正式安裝
1.點擊exe文件安裝,正常下一步即可;
2.下載破解jar包
3.右擊burp-loader-keygen.jar選擇以Java(TM) Platfprm SE binary方式打開,在下圖處隨便輸入,無所謂輸入啥;
4.點擊run即可運行Burp Suite Pro
5.如果點擊run沒成功的,可以嘗試升級JDK版本,不想的話可以win+R打開運行,輸入cmd打開dos命令窗口;
6.進入burp-loader-keygen.jar所在的目錄然后執行下面這個命令:
java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar
7.等着啟動Burp Suite,如果有警告,不用搭理,繼續即可;
8.進入這個頁面后,將第5步Keygen中License復制粘貼到這里,然后點擊next;
9.點擊Manual activation,
10.到這個頁面后,點擊Copy request,找到破解程序復制上去;
11.點擊Copy request,復制到Activation Request里面,將自動生成的Response內容復制出來
12.出現這樣就說明成功了;但是你下次登陸還得通過dos黑窗口打開它;打開試試吧。
13.創建個臨時項目看看
14.進入首頁看到抬頭8個功能模塊了吧!這是Burp Suit的核心。
Burpsuite配置
一、代理配置
1.瀏覽器端設置:打開火狐瀏覽器,點擊選項-搜索"代理",按照下圖這個進行配置,我的端口8080是跑程序的,所以我把端口改成了8090,建議不要改就是默認的,因為Burp Suit就是默認的80;
PS:360等什么瀏覽器的都行,重要的是不要用自帶的代理;以下是我用的火狐自帶的,我一會要把代理設置復原才能正常上網,建議安裝插件,這樣就不用來回轉換了;
2.Burp Suite設置,建議你們不要改Port,我這里被我改了8090,你們使用默認即可;將HTTPS選項勾上;
二、證書下載
1.其實目前這樣就已經可以攔截HTTP協議的網站了,但是不少網站的協議都是HTTPS,SSL是HTTPS的安全基礎,Burp Suite提供了這一塊的安全證書,我們只要下載安裝下就行了。
地址:https://burp/
沒出來的朋友不妨試試F12看看這個頁面源代碼;
2.證書下載好了,老規矩在選項中搜索"證書",將證書導入證書頒發機構即可;
剩余部分請至公眾號內閱讀