burpsuite初步使用

最新推荐文章于 2025-06-22 12:00:33 发布
原创 最新推荐文章于 2025-06-22 12:00:33 发布 · 327 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了burpsuite的基本使用,包括设置代理、截断HTTP请求、使用爬虫扫描站点、漏洞扫描、Intruder模块的爆破测试以及Repeater的单个请求修改功能。在代理设置中,通过127.0.0.1:8080监听请求,Spider模块可爬取并扫描URL,Scanner用于主动扫描漏洞,Intruder则支持多种攻击模式,如Sniper、Battering ram等,用于漏洞测试和数据获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

burpsuite初步使用

proxy(代理)

  • 建立代理监听Proxy–> Options,设置为默认值127.0.0.1:8080
  • Intercepting(截断)
    • 在浏览器代理设置中将所有的请求代理到burpsuite
    • 选中(Intercept is on)按钮使用截断
    • 在浏览器中开始访问应用,在burpsuite中就可以看到所有的请求
    • 你可以修改请求,然后点击“Forward”发送修改后的请求,点击“Drop”按钮不发送该请求。
    • 在这里插入图片描述
  • HTTP History
    • 可以查看到所有的http请求,相关的请求方式,status
    • 修改过请求就会出现修改前后的两条记录
    • 在这里插入图片描述

Spider(爬虫)

  • 访问web应用的时候会自动扫描站点里面的所有的url并且去尝试连接。在使用的时候需要在target->sitemap下选择你需要爬取的站点右键Add To Scope加入分组。
  • scope 下也可以手动进行增删改
    • Exclue from scope 可以排除类似于set out的页面
  • 进入spider模块下control可以看到一些准备去爬取的url在(request queued)排队,点击spider is paused开始爬取。
    • 爬取过程中会有表单需要填写一保证能收到服务器端的响应
  • options下的crawler setting 可以设置爬虫的深度
    • 在这里插入图片描述

Target

  • Site Map有所有可以搜索到的url,黑色代表已经爬取过真实存在的,灰色则还没有爬取
  • 可以添加scope进行筛选
    • show only in-scope筛选

Scanner

  • options中可以勾选需要扫描漏洞的选项
    • 在这里插入图片描述
  • 在target中选择需要扫描的ip右键选择Actively scan this branch开始扫描
  • 在scanner下的scan queue查看扫描的情况
    • 在这里插入图片描述

Intruder

  • Intruder可以用来爆破,枚举,漏洞测试等测试手段,然后从结果中获取数据。
  • 简单应用:首先Proxy-> HTTP History,右键要测试的请求,(选取一个登陆的请求),点击“Send To Intruder”:

    • intruder

    • 高亮显示的地方就是要攻击的地方,可以使用鼠标选中点击旁边的clear和add进行修改攻击的地方

    • Sniper – 这个模式使用单一的payload组。它会针对每个位置设置payload。这种攻击类型适合对常见漏洞中的请求参数单独地进行fuzzing测试。攻击中的请求总数应该是position数量和payload数量的乘积。
      Battering ram – 这一模式使用单一的payload组。它会重复payload并且一次把所有相同的payload放入指定的位置中。这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况。请求的总数是payload组中payload的总数。
      Pitchfork – 这一模式使用多个payload组。对于定义的位置可以使用不同的payload组。攻击会同步迭代所有的payload组,把payload放入每个定义的位置中。这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入的情况。请求的数量应该是最小的payload组中的payload数量。
      Cluster bomb – 这种模式会使用多个payload组。每个定义的位置中有不同的payload组。攻击会迭代每个payload组,每种payload组合都会被测试一遍。这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。攻击请求的总数是各payload组中payload数量的乘积

    • 在这里插入图片描述

    • 使用列表中的字符进行一个个的代替尝试登录

    • 可以在options添加筛选条件

Repeater

  • 单个页面修改请求List item
【Burp入门第四篇】使用BurpSuite修改请求+实战0元购
等风来
04-06 2741
修改 Burp Proxy 中拦截的请求,可以使我们以网站未预期的方式操纵请求,以查看其响应方式或发现漏洞。可以看到,请求体中有一个名为price的参数,它与商品的价格(以美分为单位)相匹配,同时参数值以明文传输。思路:参数是否在Burp中以明文传递,是否可以修改参数达到1元购、0元购甚至使账户数额增加?操作:在商品信息页面开启浏览器的Burp代理,开启Burp拦截,并点击。再次关闭拦截,以便任何后续请求都可以不间断地通过 Burp 代理。,将修改后的请求发送到服务器。至此,我们实现了近似0元购。
渗透测试-burp suite实战
zzywan
10-25 705
burp suite基本使用
BurpSuite2021系列(四)新建实时任务
46的十哥哥的5哥哥
07-26 335
本文视频版在B站: 视频版更加详细,涉及各个参数讲解。 实时任务,就是每时每刻都在运行的任务,会实时接收burpsuite的数据进行处理,当然这是可以设定特定的数据进入该任务进行处理的。 其他的根据情况微调。 ...
BurpSuite 基本使用修改请求
白帽渗透笔记的博客
07-09 5532
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 安装 需要先安装 Java 环境,安装好后直接使用 java -jar 命令运行 BurpSuite 的 jar 包即可,公众号后台回复 “burp” 即可获取BurpSuite 的 jar 包。 代理 使用之前,需要先设置代理,推荐使用谷歌浏览器,推荐使用代理插件.
BurpSuite 2025最新版插件开发】基础篇3:请求拦截和修改简单示例
最新发布
聚焦实战技术的 “白话解读” 和入门级操作指南。
06-22 1446
本文介绍了如何开发一个简单的BurpSuite插件,用于拦截和修改HTTP请求
Burpsuit使用03:拦截请求修改响应
汪敏的博客
06-16 9240
burpsuite是渗透的必备工具,使用它可以进行一些截包分析,修改包数据、暴力破解、扫描等功能,使用最多的场景应该是设置代理拦截数据包分析数据和爆破。
测试角度burpsuite修改request/response图文详细教程
xueyan2018的博客
03-28 1万+
本文主要应用到burpsuite的proxy功能模块,用于拦截浏览器的http会话内容。 proxy主要功能模块介绍 intercept 用于显示和修改HTTP请求和响应 http history 显示所有请求产生的细节 websocket history 用于记录WebSockets的数据包,是HTML5中最强大的通信功能,定义了一个全双工的通信信道,只需Web上的一个 Socket即可进行通信,能减少不必要的网络流量并降低网络延迟 options 用于设置代理..
使用sqlmap+burpsuite进行中级sql注入
06-01
本篇将详细介绍如何结合sqlmap和BurpSuite工具进行中级SQL注入的实战操作。 首先,我们需要了解sqlmap和BurpSuite的基本功能。sqlmap是一款自动化SQL注入工具,它能自动检测和利用SQL注入漏洞,获取数据库信息。...
Burp suite靶场SSRF练习(1)-持续更新中
09-09
Burp Suite 是一款广泛使用的用于网络安全测试的工具,它提供了多种功能,包括手动和自动化的Web应用攻击测试。本文档是关于使用Burp Suite进行SSRF靶场练习的指南。 通过靶场练习,学习者可以更直观地理解SSRF攻击...
BurpSuite使用介绍中文2.42MB最新版本
12-03
Burp Suite是一个广泛使用的集成化平台,专门设计用于Web应用程序安全测试。它集成了大量实用工具,旨在通过提供丰富的接口来简化和加速安全攻击流程。该平台的特色在于其强大的框架,能够有效处理和展示HTTP消息的...
Burp Suite 使用介绍
12-24
### Burp Suite 使用介绍 #### 一、概述 Burp Suite 是一款被广泛应用于网络安全领域内的强大工具,尤其适用于Web应用程序的安全测试。该工具集成了多种功能,旨在帮助安全研究人员和渗透测试人员发现Web应用程序...
burpsuite安装详细教程-跨平台Burp Suite安装详解及配置方法
11-16
使用场景及目标:① 学习如何快速在不同平台完成Burp Suite的部署;② 掌握正确的配置方法;③ 提升对Burp Suite的理解和应用能力。 其他说明:安装和使用过程中应确保符合当地的法律规范,避免非授权访问行为。
渗透工具.Burpsuite使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite使用[抓包改包丢包、重放爆破(多参数)]
BurpSuite 软件修改http请求响应
caisexi的博客
10-14 1600
5)该js请求回来的响应内容需要修改,那就右键这样选中后面就能拦截该请求的响应,然后forward。6)拦截到了刚才请求的响应内容,调整完js代码后看,直接forward。4)浏览器ctrl+f5强制刷新页面,避免缓存。3)本机电脑配置代理到BurpSuite。7)浏览器就会得到我们修改完后的js文件。
Windows 上Burp Suite的安装与使用
weixin_45214325的博客
03-01 2942
请求的项目显示为黑色,其他项目显示为灰色。选择此选项后,当项目重新打开时,Spider 和 Scanner 工具将自动暂停,以避免向现有已配置的目标发送任何无意的请求。完成上述工作后,进入Proxy–Intercept页面Intercept is off /on按钮是开启或关闭拦截功能,开启拦截功能后即可拦截请求信息,修改其中参数,然后点击Forward(放行)便可将修改过参数的请求发送至目标服务器。使用项目保存的选项 - 此选项在重新打开现有项目时可用,并将使用保存在工程文件中的配置打开项目。
Burpsuite拦截并修改request/response
liuno0的博客
09-04 2万+
Burpsuite拦截并修改request/response Burpsuite设置HTTP/HTTPS代理并抓包 设置完代理,你可以作为一个观察者查看所有经过Burpsuite代理的Http报文,但是往往实际的场景中你还需要拦截报文进行修改。 1.拦截修改request 首先进入Proxy-Options-Intercept Client Requests设置request拦截的规则...
安全测试必学神器 --BurpSuite 安装及使用实操
2401_83387413的博客
09-29 1311
点击查看其返回结果,查看Render页面回显,提示"Welcom ....",说明password为正确密码,登录成功。再去支付界面点击“立即购买”。3、再去操作登录,输入admin、密码先随意输入一个,点击Login,就可以看到拦截的登录信息。一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
利用BurpSuite修改Response值的两种方法
热门推荐
nethm的专栏
05-09 3万+
1、开启代理拦截,直接修改Response值,如下图2、使用自动代理转发,如下图
burpsuite knife使用教程
01-03
### Burp Suite 中 Knife 插件的使用教程 #### 安装与初步设置 为了使 Knife 插件能够在 Burp Suite 中正常工作,需先完成其安装过程。确保已下载最新版本的 Knife 插件文件,并按照官方文档中的指示操作,直至成功加载到 Burp Suite 环境内[^1]。 #### 功能概览 Knife 是专为经常使用 Burp Suite 进行渗透测试的安全专家设计的一款强大辅助工具。它不仅简化了许多常规任务的操作流程,还提供了额外的功能来增强工作效率和效果[^2]。 #### 主要特性介绍 - **自动化请求处理**:支持批量修改 HTTP 请求参数,极大提高了数据收集阶段的工作效率。 - **自定义脚本执行**:允许用户编写 Python 脚本来实现特定场景下的复杂逻辑,如自动填充表单字段或模拟登录验证等行为。 - **集成外部工具接口**:能够与其他开源漏洞扫描程序(例如 SQLMap)无缝对接,在发现潜在注入点时可一键触发进一步检测分析[^3]。 #### 实际应用场景举例 假设在一个 Web 应用安全性评估项目中遇到疑似存在SQL 注入缺陷的目标页面。此时可以利用 Knife 提供的一键启动 sqlmap 接口功能快速确认是否存在真实风险;如果确实存在问题,则继续借助该插件内置的支持机制深入挖掘更多细节信息以便后续修复建议给出。 ```python # 启动 Sqlmap 扫描示例代码片段 from knife import start_sqlmap_scan target_url = "http://example.com/vulnerable_page" start_sqlmap_scan(target_url) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值