Burpsuite介紹:
一款可以進(jìn)行再WEB應(yīng)用程序的集成攻擊測試平臺蹂喻。
常用的功能:
抓包葱椭、重放、爆破
1.使用Burp進(jìn)行抓包
這邊抓包口四,推薦360瀏覽器7.1版本(原因:方便)
在瀏覽器設(shè)置代理:
360瀏覽器:工具->代理服務(wù)器->代理服務(wù)器設(shè)置
設(shè)置好代理:127.0.0.1:8080 -> 確定
打開BurpLoader.jar 進(jìn)行監(jiān)聽設(shè)置:
Proxy->Options
我們再仔細(xì)看下:
Interface設(shè)置要跟前面瀏覽器設(shè)置的代理服務(wù)器一樣孵运。
Running一定要打勾才可以監(jiān)聽。
開始抓包:
360瀏覽器設(shè)置:
Burp設(shè)置:
這樣在瀏覽器進(jìn)行操作就可以抓到包:
可以直接在Raw這進(jìn)行修改包的內(nèi)容蔓彩,最后要讓包正常傳遞過去治笨,點(diǎn)擊Forward即可。
不要這個包赤嚼,點(diǎn)擊Drop旷赖,就可以丟棄。
進(jìn)行重放包:
鼠標(biāo)對著Raw的內(nèi)容右擊更卒,最后單擊Send To Repeater
之后等孵,你會發(fā)現(xiàn)這樣的情況:
只需要點(diǎn)擊Repeater進(jìn)入重放功能模塊。
想要重放點(diǎn)擊Go就可以蹂空,從頁面可以看到左邊是我們抓到的包俯萌,右邊是包返回的結(jié)果。
進(jìn)行爆破:
跟上面重放是一樣的上枕,右擊Raw的內(nèi)容咐熙,點(diǎn)擊Send to Intruder
之后也會出現(xiàn)Intruder變黃色。還是跟重放一樣辨萍,進(jìn)去爆破功能模塊棋恼。
設(shè)置爆破的參數(shù):
進(jìn)入后,先點(diǎn)擊Clear $
把要爆破的參數(shù)后面的值選中锈玉,點(diǎn)擊Add $
設(shè)置好后爪飘,進(jìn)行字典的設(shè)置。
點(diǎn)擊Load可以載入你自己的字典拉背。
如果要爆破4位數(shù)的字典或者5位數(shù)的(純數(shù)字)悦施,不必自己生成字典,用Burp自帶的字典:
在進(jìn)行設(shè)置:
最后要爆破的時候去团,點(diǎn)擊Start attack
雙參數(shù)爆破:
兩個參數(shù)設(shè)置。
再分別進(jìn)行字典的導(dǎo)入:
