以前一直在网站写学习经历,突然发现不如自己写blog,而且自己很方便,就搬过来啦。以前也用过这个工具,不过没有好好的用,很多功能还不是很了解,现在嘛,发现它真的是个神器,好好的学习(其实为了以后找工作,毕竟以后还是会用到这个的呀),
一、BurpSuite是啥
如果你是打过ctf比赛的,那下面这段直接跳过。它由Java语言编写,是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。
常用的功能:抓包、重放、爆破
二、安装BurpSuite
(1)、首先你的电脑上有java环境,然后下载BurpSuite
在命令控制端输入java,如果是这样,就有java环境,否则自己去安装吧。
下载Bp
链接:https://pan.baidu.com/s/10Jq0P5n67VdIZuNZLgj2SQ 密码:rc69
(2)、向浏览器中导入证书
向bp中导入证书
向浏览器中导入证书
(3)、运行,截断流量成功
三、功能介绍
1、Proxy(代理),提供一个直观、友好的用户界面,他的代理服务器包含非常详细的拦截规则,并能准确分析HTTP 消息的结构与内容
选项Intercept
选项option
2、Intruder(爆破),定制攻击自动化
抓包发送到Intruder处
工具已经自动为我们创造了有效载荷测试的位置。有效载荷的位置使用§符号作为每个有针对性的攻击位置的起始和结束标记。你想测试的位置前后用§§符号进行标示。然后设置攻击类型
Sniper 这种攻击模式可以让我们选择的攻击位置注入一个单一的有效载荷。
Pitchfork 这种攻击模式允许你测试多种有效载荷,最大能够自定义8 个,基于攻击位置
Cluster bomb 这种攻击模式使用多种有效载荷,并允许你测试每一个可能有效载荷在每个选择的攻击位置,这意味着接下来的测试,交换任何其他有效载荷。当你有不同需要注射的地方,它将会非常的方便。
3、Scanner Web 应用程序的安全漏洞进行自动发现工具。它被设计用于渗透测试,并密切与您现有的技术和方法,以适应执行手动和半自动化的Web 应用程序渗透测试。
参考这个链接:https://bbs.ichunqiu.com/thread-16260-1-1.html
4、Repeater(重放)
手工修改,可以不断重放,如下:
5、Decoder(解密)
用于普通解密,hash