关键词:Burpsuite、burpsuite下载、burpsuite使用

很多同学找不到比较新Burpsuite版本,小编已经找到了,文末获取。

导读:

你爆破数字验证码要自己生成字典?

你不会同时爆破账号密码?

Burpsuite介绍:

一款可以进行再WEB应用程序的集成攻击测试平台。

常用的功能:

抓包、重放、爆破

1.使用Burp进行抓包

这边抓包,推荐360浏览器7.1版本(原因:方便)

在浏览器设置代理:

burp suite 怎么连接iOS burpsuite怎么用_抓包

360浏览器:工具->代理服务器->代理服务器设置

burp suite 怎么连接iOS burpsuite怎么用_360浏览器_02

设置好代理:127.0.0.1:8080 -> 确定

Burpsuite下载:

Burpsuite1.6.rar

(这边说下,Burpsuite原为收费,打开的时候使用已经破解的补丁就可以正常使用,就是如下的正确打开方式)

打开BurpLoader.jar 进行监听设置:

burp suite 怎么连接iOS burpsuite怎么用_360浏览器_03

Proxy->Options

我们再仔细看下:

Interface 设置要跟前面浏览器设置的代理服务器一样。

Running 一定要打勾才可以监听。

开始抓包:

360浏览器设置:

burp suite 怎么连接iOS burpsuite怎么用_抓包_04

Burp设置:

burp suite 怎么连接iOS burpsuite怎么用_Burp_05

这样在浏览器进行操作就可以抓到包:

burp suite 怎么连接iOS burpsuite怎么用_抓包_06

可以直接在Raw这进行修改包的内容,最后要让包正常传递过去,点击Forward即可。

不要这个包,点击Drop,就可以丢弃。

进行重放包:

burp suite 怎么连接iOS burpsuite怎么用_抓包_07

鼠标对着Raw的内容右击,最后单击Send To Repeater

之后,你会发现这样的情况:

burp suite 怎么连接iOS burpsuite怎么用_Burp_08

只需要点击Repeater进入重放功能模块。

burp suite 怎么连接iOS burpsuite怎么用_360浏览器_09

想要重放点击Go就可以,从页面可以看到左边是我们抓到的包,右边是包返回的结果。

进行爆破:

跟上面重放是一样的,右击Raw的内容,点击Send to Intruder

之后也会出现Intruder变黄色。还是跟重放一样,进去爆破功能模块。

设置爆破的参数:

进入后,先点击Clear $

把要爆破的参数后面的值选中,点击Add $

burp suite 怎么连接iOS burpsuite怎么用_抓包_10

设置好后,进行字典的设置。

burp suite 怎么连接iOS burpsuite怎么用_抓包_11

点击Load可以载入你自己的字典。

如果要爆破4位数的字典或者5位数的(纯数字),不必自己生成字典,用Burp自带的字典:

burp suite 怎么连接iOS burpsuite怎么用_360浏览器_12

在进行设置:

burp suite 怎么连接iOS burpsuite怎么用_Burp_13

最后要爆破的时候,点击Start attack

双参数爆破:

burp suite 怎么连接iOS burpsuite怎么用_抓包_14

两个参数设置。

再分别进行字典的导入:

burp suite 怎么连接iOS burpsuite怎么用_burp suite 怎么连接iOS_15

马后炮:

Burp是一款神器,好好利用。