泷羽Sec-Burp Suite功能篇

最新推荐文章于 2024-12-12 22:54:31 发布
最新推荐文章于 2024-12-12 22:54:31 发布
阅读量1.1k 收藏 21
点赞数 19
CC 4.0 BY-SA版权
文章标签: 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ciscoj/article/details/144163681

声明!
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

目录

一、burp选择项目

二、decodor(加密解密编码)

三、logger模块(日志记录)

四、Burp Comparer 模块

一、burp选择项目

temporary project (临时工程)
new project on disk(新建工程)
open existing project (打开一个工程 可以接着干 上次没弄完的)
oause Automated tasks(是否停止自动化工程)

二、decodor(加密解密编码)

可以把我们想要的文字编码混淆 做加密,可以base64
html ascll hex MD5 等等 在获取一个URL后,可对其中的编码进行解码分析,可以看出该段URL中是否含有隐藏其中的恶意脚本(例如XSS跨站脚本攻击)

现在burp上使用代理抓一个包将其中的password值发送到编码器

然后对编码进行解码 得到密码

三、logger模块(日志记录)

功能概述

Burp Logger 模块主要用于记录通过 Burp Suite 代理的网络流量。它能够详细地记录 HTTP 请求和响应的各种信息,包括请求方法(如GET、POST 等)、请求的 URL、请求头(如 User-Agent、Content -Type 等)、请求体内容、响应状态码(如 200、404 等)、响应头和响应体等。这些记录对于安全测试人员来说是非常宝贵的资源,能够帮助他们分析应用程序的行为、追踪潜在的安全漏洞以及重现测试过程。

四、Burp Comparer 模块

功能简介
Burp Comparer 模块是一个强大的工具,用于比较两个数据块之间的差异。这些数据块可以是 HTTP 请求、HTTP 响应、文件内容等。它可以精确地找出两个数据块在字节级别或字符级别上的不同之处,包括新增的内容、删除的内容以及修改的内容。这有助于安全测试人员快速识别出可能导致安全漏洞或应用程序功能变化的关键差异。

主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。使用中的场景可能是:

1.枚举用户名过程中,对比分析登陆成功和失败时服务器端反馈结果的区别。

2.使用 Intruder 进行攻击时,对于不同的服务器端响应,可以很快的分析出两次响应的区别在哪里

3.进行SQL注入的盲注测试时,比较两次响应消息的差异,判断响应结果与注入条件的关联关系。

抓两个不同的包或者同个包进行修改后发到对比器中,可以通过对比器看到二者之间的区别

 

可以看到二者不同的部分会被标注出来
例如:可以尝试抓取一个有SQL注入的网页包,再抓一个待测试的网页包,将二者进行对比,看待测网页是否有SQL注入的漏洞

对其包长度,url,cookie进行比对,分析二者区别来对其可能存在的漏洞进行分析

无趣0521
关注
19-1.1 burpsuite模块介绍之decoder
weixin_43263566的博客
12-30 1087
decoder是一个简单的工具,用于将原始数据转换成各种编码和哈希表。它能够智能地识别多种编码格式采用启发式技术。UrlHTMLBase64ASCII码Hex(十六进制)Octal(八进制)Binary(二进制)GZIPBurpDecoder是BurpSuite中的一款编码解码工具,用于对原始数据进行各种编码格式和散列的转换。它的界面主要分为三个部分:输入域、输出域和编码解码选项。输入域(Input Field):这是你需要输入原始数据的地方。
渗透测试---Burpsuite(1)模块介绍
2301_79949226的博客
11-28 1398
本文主要阐释了burpsuite的各模块的作用,希望对你有所帮助咯。。
BurpSuite----decoder模块(解码器)
11-23
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Burp suite的模块介绍使用
weixin_42515203的博客
05-13 1348
Burp Suite工具的功能介绍。
Burp Suite常用模块介绍
mashiro_hibiki的博客
02-27 1153
Proxy即为代理,在代理模块中可以配置代理的监听网卡和端口,在正确配置完成后,我们的流量才会经过burp,从下图可以直观的看出配置代理前后的流量走向。Intruder模块多用于做爆破、遍历或是Fuzz这种需要修改数据包中某个字段的重复性操作。Repeater模块直译过来就是重复的意思,再该模块中可以不断的修改数据包的数据并重新发包。在该模块中可以对字符进行编码或解码的操作。
BurpSuite系列(八)----decoder模块(编码模块)
你身后的人
04-21 550
一、简介 Burp Decoder是Burp Suite中一款编码解码工具,将原始数据转换成各种编码和哈希表的简单工具,它能够智能地识别多种编码格式采用启发式技术。 二、模块说明  通过有请求的任意模块的右键菜单send to Decoder或输入数据选择相应的数据格式即可进行解码编码操作,或直接点击Smart decoding进行智能解码。  更重要的是,对于同一个数据,我们可以在Decoder...
Burp suite2 (sec
m0_68984471的博客
12-12 871
Burp suite2 (sec
渗透测试---burpsuite(5)web网页端抓包与APP渗透测试
2301_79949226的博客
12-07 959
本文主要阐释了burpsuite抓取网页端以及在app上进行抓包渗透测试的配置方法,希望对你有所帮助咯
Burp Suite 1 功能介绍 (sec
m0_68984471的博客
12-11 1064
Burp Suite 1 功能介绍 (sec
BurpSuite使用--抓包方法与解码器
weixin_45476967的博客
11-30 1256
BurpSuite是一个web渗透利器,可以抓包改包也可以扫描漏洞,将漏洞扫描和利用集成化一体,更可以支持外部插件拓展,非常牛的工具。那我们怎么使用呢?
LoggerPlusPlus:先进的Burp Suite日志记录扩展
05-02
记录器++ Burp Suite的高级日志记录 由Corey Arthur开发 Soroush Dalili原创 由NCC Group Plc作为开源发布-https: 在AGPL-3.0下发布,请参阅许可以获取更多信息 描述 Logger ++是Burp Suite的多线程日志记录扩展。 除了记录来自所有Burp Suite工具的请求和响应之外,该扩展还允许定义高级过滤器,以突出显示有趣的条目或将过滤器日志仅突出显示与过滤器匹配的那些条目。 内置的grep工具允许搜索日志以查找与指定模式匹配的条目,并提取捕获组的值。 为了使日志可以在其他系统中使用,该表也可以上载到elasticsearch或导出到CSV。 屏幕截图 日志过滤器 行亮点 Grep搜索 用法 您可以使用此扩展,而无需使用BApp商店。 为了从GitHub存储库安装此扩展的最新版本,请执行以下步骤: 步骤1.
1-16 Burpsuite Decoder介绍
山兔的博客
12-04 5325
Burpsuite Decoder模块介绍 Decoder用于对字符串进行加密解密的操作 直接点击Decoder模块,输入要加密的字符串,然后点击Encode as…,选择base64,就会出现字符串base64加密完的结果 实战演示 打开BP 点击Decoder 点Text Ctrl + A,按Back按钮,全删掉(一般情况下,里面的数值是空的,但如果有的话,可以参考下这一步) 随便输入一些字母 点击Encode as…,选择base64,当然也可以Encode其它选项,你们可以一个个去试一下
二、BurpSuite Decoder解码器
黑日里不灭的light
10-28 744
解释:BurpSuite 可以用这个模块来轻松进行编码解码,下面是支持的类型注意:特别注意的是URL编码,一般的在线网站都无法对比如‘abc’的文本编码,burpsuite可以轻松编码使用如下:编码解码。
BurpSuite学习】六:Decoder 编解码模块
野原新之助
02-24 2450
Decoder模块用于对文本进行编码(加密)解码(解密)操作
BurpSuite部署、使用与原理分析
IronmanJay
10-17 1932
本博客的主要内容为BurpSuite的部署、使用与原理分析。本博文内容较长,因为涵盖了BurpSuite的几乎全部内容,从部署的详细过程到如何使用BurpSuite进行渗透测试,以及对BurpSuite进行渗透测试的原理分析,相信认真读完本博文,各位读者一定会对BurpSuite有更深的了解。以下就是本博客的全部内容了。
全面Burp Suite教程:深入掌握Web应用安全测试的利器
m0_68483928的博客
07-17 1万+
Burp Suite是由PortSwigger公司开发的一款集成式Web应用安全测试平台。它被广泛用于发现和利用Web应用中的漏洞。Burp Suite的设计目的是帮助安全测试人员和开发者找到并修复Web应用中的安全问题,从而提升整体的应用安全性。根据目标站点的网络情况适当减少或增加请求通过字符串或者正则表达式动态将请求或响应数据中的匹配到的数据进行替换在安全测试和调试过程或者漏洞挖掘中极为有用,可以帮助测试人员模拟各种情况,测试应用的不同方面,或绕过某些限制。
burp(2)decoder compare logger模块
weixin_62512865的博客
12-06 304
它能够详细地捕获这些信息,为安全测试人员提供完整的通信记录,方便后续对请求和响应的内容进行审查、分析和利用。2.使用 Intruder 进行攻击时,对于不同的服务器端响应,可以很快的分析出两次响应的区别在哪里。3.进行SQL注入的盲注测试时,比较两次响应消息的差异, 判断响应结果与注入条件的关联关系。Comparer在Burp Suite中主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。1.枚举用户名过程中,对比分析登陆成功和失败时,服务器端反馈结果的区别。
玩转 Burp Suite (2):Decoder、Comparer 和 Logger 模块使用
vortex5的博客
12-05 504
Logger 模块主要用于记录通过 Burp Suite 代理的所有网络流量,它能够详细地记录HTTP请求和响应的各种信息,包括请求方法((如GET、POST等)、请求的URL,请求头(如User-Agent、ContentType等)、请求体内容、响应状态码(如200、404等)、响应头和响应体等。这些数据块可以是HTTP请求、HTTP响应、文件内容等。它可以精确地找出两个数据块在字节级别或字符级别上的不同之处,包括新增的内容、删除的内容以及修改的内容。如果内容有多层编码,可以重复解码操作。
Burp Suite 使用手册(非常详细),零基础入门到精通,看这一就够了
热门推荐
xiangxue666的博客
10-12 1万+
Burp Suite 使用手册(非常详细),零基础入门到精通,看这一就够了
burpsuite抓包cookie密码
最新发布
12-30
### 使用 Burp Suite 抓取包含 Cookie 和密码的数据包 #### 配置 Burp Suite 代理 为了成功捕获包含 Cookie 和密码的数据包,需确保 Burp Suite 正确配置为代理服务器。启动 Burp Suite 后进入“Proxy”选项卡下的“Options”。在此处设定监听接口和端口,通常默认设置即可满足需求[^2]。 #### 浏览器配置 使浏览器通过 Burp Suite 进行网络通信至关重要。这一步骤涉及调整浏览器的代理设置,使其指向 Burp Suite 的本地主机地址(通常是 `127.0.0.1`)及指定端口号(如8080)。完成此操作后,所有经由该浏览器发起的HTTP/HTTPS请求都将被Burp Suite截获并显示于界面内。 #### 访问 WebShell 页面 打开目标 WebShell 地址 http://127.0.0.1/90sec.php 并尝试输入任意密码提交表单。此时,在 Burp Suite 中应能看到两个数据包:一个是初始 GET 请求;另一个则是携带用户登录凭证(即密码字段)的 POST 请求[^1]。 #### 定位并分析 POST 请求 在 Burp Suite 的 HTTP 历史记录列表中找到 Method 类型标注为 "POST" 的条目。点击该项可以查看详细的请求头信息与主体内容,其中就包含了待验证的有效载荷——特别是 Cookies 及 Password 参数。 #### 发送至 Intruder 模块进行进一步处理 选中上述提到的那个特定 POST 请求项,利用鼠标右键菜单中的 “Send to Intruder” 功能将其转发给专门负责自动化攻击测试工作的模块 —— Intruder 。随后可在后者内部针对选定位置实施字典暴力破解或其他形式的安全评估活动。 ```python import requests # 示例代码展示如何模拟发送带 cookie 和 password 的 post 请求 cookies = {'session': 'your_session_id'} data = { 'username': 'admin', 'password': 'guess_me' } response = requests.post('http://127.0.0.1/90sec.php', cookies=cookies, data=data) print(response.text) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值