Burp Suite基本用法

2022-02-19 15:56:14 字數 2300 閱讀 2196

burp suite>proxy>intercept,點選【intercept is on】按鈕變成【intercept is off】,開始抓包但無攔截。若按鈕為【intercept is on】時,表示已經開啟攔截功能。

(1)可直接在raw這進行修改包的內容,最後要讓包正常傳遞過去,點選forward即可。

(2)不要這個包,點選drop,就可以丟棄

若只針對乙個**進行抓包,在 burp suite>proxy>options,intercept client requests新增規則,只攔截特定的資料報。通常不是必須的,因為很少在分析乙個**時瀏覽其它網頁。

burp suite>proxy>intercept,選擇需要重放包,滑鼠對著raw的內容右擊,最後單擊send to repeater

之後發現burp suite>repeater會提醒標黃

點選標黃的burp suite>repeater,進入重放模組,需要重放時,[或在這頁面篡改某些引數]點選【go】即可請求,從頁面可以看到左邊是我們抓到的包,右邊是包返回的結果

burp suite強大功能是intruder工具,它可使用預先定義的乙個列表來嘗試某幾個引數——在xss測試與sql注入測試中尤其有用,有經驗的安全人員通常會有乙個常用的測試列表。

(1)開啟**並啟動burp suite,進入目標頁前,檢查proxy>intercept中的【intercept is off】按鈕是off,否則頁面訪問會有問題;

(2)進入目標頁後,點選proxy>intercept中的【intercept is off】,切換為【intercept is on】,開啟攔截功能;

(3)此時點選傳送請求,攔截後,burp suite>proxy>intercept,選擇需要重放包,滑鼠對著raw的內容右擊,最後單擊send to intruder。之後burp suite>intruder選項卡變黃色,點選intruder進去爆破功能模組;

(4)接下來設定需爆破的引數,進入burp suite>intruder>xx(數字)>positions,點選右側按鈕【clear$】,然後選中爆破引數的值,點選【add$】,爆破引數的值會被$$前後包著並且顯示為黃色;

(5)若在(2)爆破引數就1個,burp suite>intruder>xx(數字)>positions的attack type 預設即可,然後切換到burp suite>intruder>xx(數字)>payloads,對引數進行字段設定,可使用burp自帶的字典或匯入自己的字典;

(6)最後,爆破時點選burp suite>intruder>xx(數字)>payloads的【start attack】按鈕;

(7)彈出結果,第一,檢視返回狀態為200的引數組合;第二,檢查原請求的大小,對比各種組合結果的大小,相等或接近大小的請求即為我們爆破成功的請求;

與三、爆破對比,只是在設定attack type和引數字典特殊,其他和

三、爆破一樣

(1)設定attack type建議為cluster bomb

(2)burp suite>intruder>xx(數字)>payloads,payload sets裡可切換引數1和引數2,然後各自配置引數1和引數2的資料字典

burp suite>target>site map選項卡下,可以看到通過burp suite**的資料報和**列表,點選任意乙個列表可選擇使用爬蟲爬整個**

burp suite>target>site map抓取到的**資源

Burp Suite 功能介紹

target 獲取目標應用程式的詳細資訊。proxy proxy是burpsuite最核心的部分,通過攔截,檢視和修改所有的請求和響應您的瀏覽器與目標web伺服器之間傳遞。spider burp spider 能使你清楚地了解到乙個 web 應用程式是怎樣工作的,讓你避免進行大量的手動任務而浪費時間...

python基本用法 Python基本用法總結

python 的設計具有很強的可讀性,易於使用。這裡對python基本用法做乙個總結介紹。一 變數型別 1 變數賦值 python中的變數賦值不需要型別宣告,每個變數在使用前都必須賦值,變數賦值之後才會被建立。使用等號進行變數的賦值。2 多個變數賦值 為多個變數賦值時或進行列表內資料的交換時,可以使...

Burp Suite經驗總結

1.spider模組 爬行時,要先將目標站點加入到target中的scope裡。2.scanner模組 對目標站點掃瞄web漏洞,是依據之前spider爬行出來的頁面,並在上面修改請求引數進行漏洞掃瞄的。3.intruder模組 3.1 共有四種攻擊型別 3.1.1 sniper 一次只能對乙個變數...