目录
下载地址
Burpsuite2024.10最新版(包含汉化)下载地址:夸克网盘分享夸克网盘是夸克推出的一款云服务产品,功能包括云存储、高清看剧、文件在线解压、PDF一键转换等。通过夸克网盘可随时随地管理和使用照片、文档、手机资料,目前支持Android、iOS、PC、iPad。
https://pan.quark.cn/s/8ecde41d7812
工具源头:吾爱破解BurpSuite v2024.10汉化无cmd框版(2024.11.03更新) - 吾爱破解 - 52pojie.cn
1. 设置代理
1.1. BurpSuite代理设置
burpsuite的默认代理是127.0.0.1:8080 可以自行添加和修改
1.2. 浏览器代理设置
在火狐浏览器下载FoxyProxy插件
添加端口 填写hostname和端口 一般默认为8080端口
添加成功
访问127.0.0.1:8080端口 下载证书
1.2.1. 给浏览器安装证书
在火狐浏览器的设置中搜索证书 导入证书即可
1.2.2. 给系统安装全局证书
双击下载的证书
点击下一步即可导入成功
1.2.3. 抓包测试
选择8080端口
开始拦截 默认是off
2. 界面调整
界面和字比较大的问题去user options>Display去调整到自己合适的界面,主题可以改为黑色
报文出现中文不适应和光标错位问题更换字体即可
3. Dashboard模块
live passive crawl from proxy(all traffic): 被动抓取来自代理流量,相当于爬虫,访问网站时被动探测链接和目录
live aduit from proxy (all traffic):实时审计代理流量,相当于被动漏扫
3.1. 主动扫描
有时候可以把一些明显的漏洞扫出来 右下角的颜色块分别代表高危数量,中危数量,低危数量和信息类漏洞数量
这里扫描awvs测试网站作示例
有四种模式,扫描深度也不同,需要的时间不同
可以设置登录选项
默认或自定义线程
3.2. 被动扫描
可以选择工具
4. Target模块
4.1. sitemap
站点地图 标记网站目录 按域名做分类访问的数据
红色为注入攻击内容
4.2. scope
用于过滤杂包 点击add添加域名即可
4.3. Issue defnitions
burp漏洞库 漏扫功能
5. proxy模块
对http发送的流量进行拦截分析
最大改动就是放包功能
箭头表示流量的方向
右键可以选择放特定的包,这里抓取返回包
再点击放包
就会拦截响应包,箭头方向发生改变
记录请求过的历史链接
6. logger模块
检测burp每个插件的流量
7. repeater模块
发送到repeater模块修改参数进行重放测试
8. intruder模块
爆破模块
攻击类型使用
- Sniper:狙击手单点模式,将数据逐一填充到指定位置。
- Battering ram:将数据同时填充到多个指定位置,例A字典的数据同时填充到两个位置。
- Pitchfork:将每个字典逐一对称匹配,例如A字典的1号位与B字典的1号位匹配,绝不相交匹配。
- Cluster bomb:将每个字典逐一交叉匹配,例如A字典的所有位与B字典的所有位都匹配。
设置需要爆破的变量 分别为 添加 清除 自动添加 刷新
设置好后点击右上角的start attack开始爆破即可
爆破后的结果可以根据关键字 返回的状态码进行筛选
9. 其余模块
9.1. collaborator
用于外带攻击 命令无回显 检测外带服务正常
9.2. decoder
用于加解密
9.3. comparer
用于比较两个不同请求、响应或其他数据块之间差异的工具 文字对比 有高亮
9.4. extensions
可以自行导入插件
也可以在store进行下载
添加编辑器路径
扫一扫
1811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
