一、小白的開始
對於軟件我比較喜歡用新的,於是一開始直接就從較新的burpsuite_pro_v2021.7.1安裝,如果有需要安裝的可以參考以下的內容:
1.1、安裝JAVA
1.2、添加環境變量
大部分情況下,我們都可以通過以下兩個環境變量來確定當前應用程序使用的是哪個Java版本:
JAVA_HOME - 多數腳本使用該環境變量來確定Java版本的位置。
Path - 當從控制台運行Java二進制文件(如iava和javac)時,使用的是該環境變量。
JAVA默認安裝位置C:\Program Files\Java\jdk-11.0.11
添加環境變量JAVA_HOME:C:\Program Files\Java\jdk-11.0.11
添加到Path: %JAVA_HOME%\bin
(新版本jdk目錄下沒有jre了)
一定要全部點完確定之后進行驗證cmd java --version
1.3、破解
先點擊run,然后將license復制到license key中
選擇手動激活
復制請求到激活請求中生成響應再復制到粘貼響應的文本框中
最后就激活了,完成后界面全英文。當然我們可以使用漢化包來漢化
漢化burp其實可以理解為用java來調動補丁,首先要在burp根目錄下運行終端,命令:
java -Dfile.encoding=utf-8 -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burploader_kengen.jar -jar burpsuite_pro_v2.1.jar
說明: java -Dfile.encoding=utf-8(定義編碼) -javaagent:BurpSuiteCn.jar(漢化補丁的名字) -Xbootclasspath/p:burploader.jar -jar(p:之后是加載器名) burpsuite_pro_v2.1.jar(burp詳細版本及文件名)
命令模板是我的,請根據自身實際情況修改即可。
二、完成后的問題
2.1、模塊問題
新版本安裝好之后,由於漢化包不完善,有界面翻譯不嚴謹和不全翻譯的問題,當然這些影響不算大,但是在使用過程中並不是先發現了新版本的優點,而是發現了一些老版本可以解決但是新版本解決不了的問題。
比如:在使用基於時間競爭的文件上傳,我們需要使用到線程數,但是新版本中找不到,只是多了一個一個資源池的選項,嘗試過使用調大資源池最大請求數的方法依然沒能成功,然后網上找了很多基於時間競爭的文件上傳方法,依然沒有找到適合新版本的方法,找新版本線程數選項的方法也是沒能找到,所以這讓我認識到有時候並不是新軟件就好,因為關於新軟件使用問題老版本的問題回答明細占大多數,當遇到問題,使用老版本也能更快找到答案。當然這只是對於還不熟悉軟件的我的主觀看法,或許以后熟悉了應該就能發現不同版本之間的優缺點了。
2.2、證書問題
https證書相關問題
2.2.1、安裝證書
開啟brup代理127.0.0.1:8080和瀏覽器開啟代理127.0.0.1:8080
網址輸入127.0.0.1:8080才會出現CA證書下載選項
2.2.2、證書安裝好依然不能抓取https的數據
檢查安裝證書的時候編輯信任設置是否勾選
2.2.3、設置模擬器代理
1、 打開設置中的wlan菜單,鼠標左鍵常按彈出菜單,點擊修改網絡,准備添加代理
2、勾選高級選項,選擇手動代理,填寫cmd中ipconfig的本機ip,未被占用的端口。
3、 來到burp中設置好代理,ip和端口要和模擬器中設置的一樣。別忘記勾選上running
4、打開模擬器自帶瀏覽器,輸入http://burp 下載證書為cacert.der。
5、 打開系統應用中文件管理器,此時無法安裝剛下載好的證書,因為模擬器識別不了此文件類型。需要鼠標左鍵常按,修改后綴名為cer(有的模擬器是pem、crt等后綴)。
6、 但是此時單擊證書,我們依然無法直接安裝。
7、 此時需要去設置中的安全菜單,找到從SD卡安裝。打開文件中瀏覽內部存儲空間,download文件夾下,可以看到剛才修改過后綴名的證書文件。證書名稱隨便,用途選VPN,至此安裝完成。
8、 之后我們可以在設置中的安全菜單下,選擇信任的憑證,用戶下可看到剛剛安裝的證書,PortSwigger CA。
9、如果無法使用安全菜單下的憑證存儲,可能是需要先設置鎖屏pin碼或密碼。
10、 安裝完成。
11、抓包一直提示安全證書有問題,點擊右上角設置按鈕(如圖所示,三個小點)
進入隱私和安全
12、在跳出的界面,我們下拉選擇顯示安全警告選項,把紅框位置點擊鼠標左鍵,打勾后,返回,這一步確保了之后點擊任何網站都不會跳出此種安全警告了。
2.3、BurpSuite亂碼問題
User Options --> Display --> Character Sets,在第四個選項中選擇 UTF-8,中文亂碼的問題就可以得到解決。這個時候不管我字體選擇的是哪一個,中文都是顯示正常的。
三、安裝舊版本Brupsuite
在使用一段時間新版本brupsuite后暫時還是沒有發現特別好用的地方,遇到更多的都是問題。同時之前在學習apk軟件編譯的過程中,遇到了無法編譯成功的情況,查了一下原因大概率可能和java版本不匹配有關系,但是對於java不了解,擔心安裝其他版本的java后影響了brupsuite的使用,就一種沒有解決,現在決定更換舊版本brupsuite安裝,一方面可以方便之后的學習,另一方面還能學到怎么讓不同java版本共存的知識,還有可能解決之前一種沒解決編譯的問題
3.1、多個java版本共存問題
在這里簡單說明一下為什么要多個java共存,因為舊版本brupsuite使用的是低版本java,但是之前安裝了高版本的java,而且之后自己的學習可能會用到多個java版本。安裝brupsuite除了所需的java環境不一樣,其他的大同小異。
1、安裝多個不同版本的Java
在Windows中同時安裝多個Java版本非常容易,你只需要下載並運行每個版本的安裝程序,它們會自動安裝到不同的目錄中
下載不同版本的Java
Java SE 1.1 - 該版本不能運行在64位Windows上
Java SE 1.2 - 默認安裝到目錄C:\jdk1.2.2\和C:\Program Files (x86)\JavaSoft\JRE\1.2\ - 推薦安裝到目錄C:\Program Files (x86)\Java\jdk1.2.2\和目錄C:\Program Files (x86)\Java\jre.1.2.2\。
Java SE 1.3 - 默認安裝到目錄C:\jdk1.3.1_28\ - 推薦安裝到目錄C:\Program Files (x86)\Java\jdk1.3.1_28\。
Java SE 1.4 - 默認安裝到目錄C:\j2sdk1.4.2_19\ - 推薦安裝到目錄C:\Program Files (x86)\Java\jdk1.4.2_19\。
下面這些版本不用修改安裝目錄,直接默認安裝:
Java SE 5
Java SE 6
Java SE 7
Java SE 8
Java SE 9 / OpenJDK 9
Java SE 10 / OpenJDK 10
注意:以下Oracle發行版只能用於個人開發,不能應用於商業軟件開發:
Java SE 11 / OpenJDK 11
Java SE 12 / OpenJDK 12
Java SE 13 / OpenJDK 13
Java SE 14 / OpenJDK 14
Java SE 15 / OpenJDK 15
Java SE 16 / OpenJDK 16
2、設置切換java版本的腳本和環境變量
path路徑里新增C:\Program Files\Java\scripts,文件夾scripts需要自己創建,用來放切換java的腳本文件。這些腳本文件被命名為java16.bat、java15.bat、java11.bat、java1.8.bat等等,在每一個腳本文件中,我們會修改當前“JAVA_HOME”環境變量的值為對應Java版本的位置。例如下面是java11.bat腳本文件的內容:
@echo off
set JAVA_HOME=C:\Program Files\Java\jdk-16
set Path=%JAVA_HOME%\bin;%Path%
echo Java 11activated.
這個腳本很簡單,我們在“Path”變量值的開頭部分插入了當前要切換的Java版本所對應目錄的位置,該位置是Java版本目錄中Java.exe可執行文件的位置,因此,每一次Java版本的切換都會導致“Path”變量的值增加,不過這個只會影響當前打開的控制台,當控制台被關閉后該操作也就失效了。
3、控制台輸入驗證
注意:java8系列是不支持--version的,但是java9卻支持--version。所以,在未來的日子里面,大家還是可以以相同的習慣,繼續使用--version的。
3.2、embedded browser initialisation failed報錯
BurpSuite可謂是滲透測試過程經常使用的神器之一,但使用中經常會碰到奇奇怪怪的問題,比如有時抓http包,發送到Repeater(中繼器,也叫重發器)模塊后,在右邊Render模塊下,卻無法看到預覽畫面,提示
embedded browser initialisation failed(嵌入式瀏覽器初始化失敗),如下圖,重新安裝后,問題依舊
embedded browser initialisation failed(嵌入式瀏覽器初始化失敗)的解決方法:
burp內置的瀏覽器是chrome,運行后, 默認會在C:\Users\當時用戶\AppData\Local\Temp目錄下,解壓出一個chrome瀏覽器的文件夾,我使用的是burp2.011,內置是chromium-64.0.3282.24版本,可能是我使用漢化的原因,burp的漢化簡單來說就是使用java來調用漢化補丁,而問題可能就出在這里,在上一次內置瀏覽器初始化失敗后,該文件夾並沒有被刪除下次還是會初始化失敗。經多次嘗試,臨時解決方法如下:
1.手動進入當前用戶下,C:\Users\當時用戶\AppData\Local\Temp目錄下,刪除chromium開頭的那個文件夾,推薦同時刪除該目錄下所有burp開頭的臨時文件夾,如果有文件提示被占用,任務管理器結束Java開頭的相關進程
2.重啟burp.發現Render下的頁面預覽已恢復。
3.3、注冊機生成的license沒作用
這是幫助別人安裝過程中發現的問題,可能是由於對方win10系統是家庭版的原因吧。注冊機里的run按鈕點擊沒有效果
在“打開方式”設置窗口中點擊選中選項“始終使用選擇的程序打開這種文件”前的復選框,再點擊旁邊的“瀏覽”按鈕。
在java的安裝路徑下找到bin文件夾里的javaw.exe選定
這時已經設置了使用javaw.exe應用程序來打開jar文件,可是實際上這時雙擊jar文件還是沒有反應,這是因為沒有設置打開文件參數導致的。
在Windows開始菜單的搜索框中輸入“regedit”,在上方搜索出的文件regedit上點擊鼠標右鍵,在彈出的菜單中選擇“以管理員身份運行”。
在注冊表編輯器中,找到“HKEY_CLASSES_ROOT\Applications\javaw.exe\shell\open\command”,在其中文件打開命令中加入參數“-jar”(無引號),修改后的數值類似:““C:\Program Files\Java\jre7\bin\javaw.exe” -jar “%1””(只需要添加-jar參數,無需修改其他信息),保存並退出注冊表編輯器。
四、總結
在安裝使用brupsuite過程中遇到了很多問題,花費了很多時間總算一一解決了,在解決問題的過程中還學到了一些新的知識,這讓我深刻的認識到遇到問題的時候千萬不能一根筋,首先應該保持冷靜的心態,把問題想清楚,然后設想出可行的解決方案,不斷嘗試,這個過程中接觸到新的知識,也許還能觸類旁通,解決之前解決不了的一些問題。