一、Burp Suite模块的使用

最新推荐文章于 2025-03-29 10:03:12 发布
最新推荐文章于 2025-03-29 10:03:12 发布
阅读量437 收藏
点赞数
分类专栏: web 渗透 文章标签: web 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/java_java_cl/article/details/103813589
版权
本文详细介绍使用BurpSuite进行渗透测试的过程,包括代理配置、重放攻击、密码爆破、站点地图生成、爬虫使用、漏洞扫描及比较模块应用。通过实际案例,深入讲解每个模块的功能与操作技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验报告

Burp 模块

实验环境:使用BurpUnlimited(Burp Suite)工具

实验要求和目的:Burp 8个模块的使用实列,练习渗透测试。

实验步骤:

  1. Proxy  监听代理模块 与其他模块配合使用

Burp 代理

浏览器代理:火狐浏览器代理、谷歌浏览器代理

证书,访问https 时需要证书,可以在burp 添加,火狐浏览器单独添加证书。

    2.Repeater重放

3.  Intruder 爆破

3.1、密码爆破

爆破

4.Target 站点模块

Target  —》site map 站点地图 (只要从bp经过的流量 都会在此显示)

       —》 Target Scope 目标域设置

在横条处可以过滤想要看到的。

将需要操作的网站 添加到 scope

现在需要对这个网站往下爬,需要用到Spider 爬虫模块。

 

5.Spider 爬虫模块

爬虫是根据连接找页面,还有可能爬的连接不全, 需要手动和bp工具一起用。

使用 DVWA-master当作爬虫目标 (是个靶场工具)

下载解压到phpStudy 的 www目录下,打开config文件。复制 .dist 文件并重命名为config.inc.php  。 打开此文件,将修改数据库用户名和密码(之前设置的用户名和密码都是root)。

打开浏览器,输入http://localhost 选择解压的DVWA ,可弹出登录界面,输入

用户名  admin   密码 password  。即可进入。

开启代理抓包 (拦不拦截都可以)

已经有一部分,不全,开启爬虫。

进入Spider  Options  登录选择最后一项自动选择,输入用户名 admin 密码password

将需要操作网站发送到 scope。

使用爬虫。

查看爬到的内容,还是不全,

这时需要手动去浏览器 dvma  左侧框按个点击,爬到的会增加。

 

6.Scanner 扫描

扫描

激活扫描   默认是不扫描

 

扫小点的

 

查看扫描

导出xml格式报告到桌面,双击打开,可看到 报告内容。

7.Comparer  比较模块

从浏览器 dvwa中输入传的信息

代理 拦截 抓包

Go 一下  将右侧的内容复制到 Comparer  比较模块,paste粘贴。这时第1条。

将内容复制到文本内 删除内容后 在复制到 Comparer  比较模块。这时第2条。

此时点击 words 比较。可明显看出删除部分。

 

 

 

 

burpsuite最新版 有java环境就能用
02-05
burpsuite最新版 有java环境就能用 .............................................................................................
Burp模块
a987329381的博客
05-28 391
3.pitchfork模式:每个变量对应个字典,比如username和password,依次取其对应的字典中的条数据对相应变量进行替换,如果两个字典条数不样,那么共会执行条数较少的那么多次,即不会交叉替换,只会按每个字典的顺序进行替换。Raw:这个是数据的主要视图格式,它里面包含了HTTP请求的方法,地址,协议版本,请求头,等信息,如果是POST请求的话,在请求头的下面应该还会有请求的实体内容。
Burp Suite从入门到实战之代理设置和各模块使用方法
最新发布
likfishdn的博客
03-29 332
代理设置,各模块使用方法
burp模块使用
mingyqf的博客
02-12 8153
intrude模块
Burp suite模块介绍使用
weixin_42515203的博客
05-13 1313
Burp Suite工具的功能介绍。
Burp Suite常用模块介绍
mashiro_hibiki的博客
02-27 1113
Proxy即为代理,在代理模块中可以配置代理的监听网卡和端口,在正确配置完成后,我们的流量才会经过burp,从下图可以直观的看出配置代理前后的流量走向。Intruder模块多用于做爆破、遍历或是Fuzz这种需要修改数据包中某个字段的重复性操作。Repeater模块直译过来就是重复的意思,再该模块中可以不断的修改数据包的数据并重新发包。在该模块中可以对字符进行编码或解码的操作。
BurpSuite使用介绍(
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的个强大...
burpsuite使用手册.pdf
11-10
如果不工作,可以运行在命令提示符或终端输入命令:Java – jar burpsuite_v1.4.jarBurp。 在配置 Burp Suite 时,需要选择代理端口,配置浏览器的代理设置,并指定代理端口为 8080(或任何您正在运行的端口)。...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
"burpsuite使用)---抓包,截包,改包.pdf"文件应该详细介绍了这个过程。抓包是指捕获网络上的数据包,截包是拦截并存储这些数据包,而改包则是指对这些数据包进行修改。在Burpsuite中,"Proxy"模块就是实现这些...
burpsuite新版的Spider模块Content discovery功能详解和实操.doc
03-20
burpsuite Spider模块Content discovery功能详解】 Burp Suite款强大的网络安全工具,主要用于Web应用程序的安全测试。在新版中,它的Spider模块集成了Content discovery功能,这是个强大的网站内容和功能...
burpsuite系列使用教程
09-12
Intruder是Burp Suite中的个强大模块,用于自动化攻击测试。它提供了多种攻击模式,如单点攻击、多点攻击、Sniper和Battering Ram等,适用于不同类型的漏洞检测。 1. GET单变量数字型:Intruder可以针对GET请求的...
burp suite 1.7.26 破解版 永不过期 burploader unlimited
12-03
国外网友基于faketime做的burp loader的unlimited版本. 需要堆dll或者so. 详情见如下描述,没有分的可以去github上找. ======================== BurpUnlimited version 1.7.26 release 1.0 + Created by: mxcx@fosec.vn + Email: mxcxvn@gmail.com + Based on: BurpLoader by larry_lau + Github: https://github.com/mxcxvn/BurpUnlimited it's opensource ======================== This project is NOT intended to replace BurpLoader. It just EXTENDS BurpLoader's license! To run the project from the command line: java -javaagent:BurpUnlimited.jar -agentpath:lib/libfaketime -jar BurpUnlimited.jar or double click on BurpUnlimited.jar (set permision before) ## Notes: - There are some requirements files in lib at current folder: + burpsuite_pro_v1.7.26.jar is main object + libfaketime* Lib for hook time activation. Sourcecode is at https://github.com/faketime-java/faketime - For windows, vcredist is required: https://www.microsoft.com/en-gb/download/details.aspx?id=48145 - The folder for_windows_if_you_dont_wanna_install_vcredist is for anyone who don't wana install vcredist, please chose the file for x64 or x86, rename to vcruntime140.dll and copy to BurpUnlimited.jar's folder - To have no unexpected error, please leave all file in the folders which have not any space character (including java binary file in case not run with default java). - This version is tested run stable on MACOSX 64 bit, Ubuntu 64 bit, Windows 64 and 32 bit. If you have any error in starting, please try some ways: + Change manually your datetime to before 01/10/2017 + Build your own libfaketime, sourcecode is at https://github.com/faketime-java/faketime + Or contact me mxcxvn@gmail.com ## Hash MD5 version release 1 BurpUnlimited.jar 5cf68ad0cc2d4ee265d0da1469decf21 lib/ burpsuite_pro_v1.7.26.jar 5d1cbbebc7fb59a399ae7bcacbe05f74 libfaketime32.dll e3842711a065b672dec322c4140b950f libfaketime32.jnilib d2b62d06a972035149bfdefe1605c041 libfaketime32.so 5c2baa272037207533d74faa4291e91d libfaketime64.dll 6659efeee9698609a9ffd9ea8c9d07d1 libfaketime64.jnilib ff3dbde6a28f1c59d829cf5665c8e628 libfaketime64.so 5c2baa272037207533d74faa4291e91d for_windows_if_you_dont_wanna_install_vcredist/ vcruntime140_x32.dll b77eeaeaf5f8493189b89852f3a7a712 vcruntime140_x64.dll 6c2c88ff1b3da84b44d23a253a06c01b
web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验
Eason_LYC安全白帽子的成长博客
09-05 5823
说起WEB安全,无论是攻击方还是防守方,都离不开抓包。那什么是抓包呢?简单说来,就是在web交互中,不同服务端、客户端、主机间都是以个个数据包方式发送和接收,再根据内容进行响应,完成交互和信息传递。以上的交互流程,对正常使用者来说是不可见的。但我们作为安全技术人员怎么能够是正常使用者呢。所以需要使用专门的工具对这个流程可视化,了解目标系统是如何交互?业务开发的逻辑是怎么构建?众多组件和框架是什么?同时我们对数据包可以进行拦截、修改测试、甚至伪造、篡改等,来达到特定目的。
BurpSuite 各模块使用
weixin_30675247的博客
02-02 326
Proxy 代理 对浏览器进行代理 对浏览器增加代理服务器 可以对http 请求进行监视 intercept is on 进行监控 off 不监控 可以任意修改 对任意的网络请求 进行爬虫 在 site map 可以看到说有的请求网站目录文件 可以在 spider options 设置网络爬虫规则 ...
泷羽sec--轻松了解burp的配置使用及各个模块的作用
China_I_LOVE的博客
11-25 1263
burp全称burp suite,非常的强大的工具,可以抓包,爆破,最强大的是集成化的模块以及可以自行扩展。采用java的,包名为.jar,导入jython包后,会使得可以使用更多的扩展,而且可以把python脚本导入使用
使用Burp Suite软件抓取https包,并分析
longanquan的博客
07-22 916
使用Burp Suite软件抓取https包,并分析 环境准备 使用Windows7虚拟机,在win7虚拟机上安装Firefox浏览器,并安装burp suite软件 证书获取 证书下载 在http://burp上下载证书,可以在物理机上下载(复制到虚拟机上),也可以在虚拟机上下载。 证书导入 我们需要将下载好的证书导入到Firefox浏览器上。 打开Firefox浏览器—菜单—选项—隐私与安全(如图所示) 下拉在证书下点击查看证书,这里注意在服务器选项卡下不能导入可以在证书颁发机构选项卡导入下载好的证书
基于实战的Burp Suite插件使用Tips
网安君的博客
01-17 5370
基于实战的Burp Suite插件使用技巧 本篇文章首发于奇安信攻防社区 0×00前言 ​ Burp Suite个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite使用,也使得渗透测试工作变得轻松和高效。 Burp Suite可执行程序是java文件类型的jar文件,免费版的可以从免费版下载地址
burpsuit安装及实战教程 -kali/渗透测试/网络安全/信息安全
09-29
你将收获       课程以Kali系统中的常见渗透测试工具及分类为基础,讲解超过50+款渗透测试工具的介绍,基本涵盖了渗透测试中百分之80常见工具的使用。让小白测试人员在面对web系统和内网系统时有个基本的思路,方便后续深入学习web渗透和内网渗透。适用人群       IT从业者、信息安全爱好者、互联网运维等课程介绍     1)Burpsuit工具安装和基本的配置     2)Burpsuit工具抓取Https数据包     3)Burpsuit工具修改数据包实现0元支付     4)Burpsuit工具爆破登录密码     5)Burpsuit工具爆破登录密码-验证码绕过(上)     6)Burpsuit工具爆破登录密码-验证码绕过(下)     7)Burpsuit工具爆破登录密码-token绕过
burpsuite的原理及代理的设置
weixin_58849785的博客
04-08 3011
它由 PortSwigger 开发,广泛用于安全专业人员、渗透测试员和Web开发人员中,用于识别和利用Web应用程序中的漏洞。Burp Suite个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite使用,也使得渗透测试工作变得轻松和高效。第二步:打开浏览器,并设置burp的代理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值