本文介绍了Burp Suite,它是攻击web应用程序的集成平台,各工具共享请求并处理HTTP消息等。还提及在kali系统上的安装,建议配合火狐浏览器。最后通过攻防世界的一道web题目,展示了使用Burp Suite截获数据包、跑字典破解密码获取flag的过程。
什么是burpsuite
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
关于burpsuite的安装环境
我相信很多人做ctf都是会有kali系统的,他上面就有这个软件
安装教程:https://www.jianshu.com/p/27ca274b70c8
建议配合火狐浏览器使用
口说无凭,直接看一个简单的列题
题目:攻防世界——web——weak_auth
:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5069
先打开kali上的burpsuite进入Proxy确保intercept on
再用火狐浏览器打开题目界面进入设置界面
对其发送端口进行修改,接入电脑的回环路口(至于什么是回环路口请自行研究ip/tcp协议)
保存之后再回到题目页面,随便输入什么再确定,但此时不会有任何的反馈而且网页也在持续加载当中,因为burpsuite已经把它的数据包给截下来了。现在打开burpsuite。
然后有右键send intruder,再进入intruder-position
先ctrl+a全选清楚所以payload在选择你想要跑字典的payload
再进入payloed界面,选择字典。
开始攻击
错误密码的返回长度都是一样的434而正确的值是437,那么看其对应的payload就可以得知其正确的密码了,输入之后就可以得到flag了。
扫一扫
3219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
