BurpSuite全套使用教程(超实用超详细介绍) |
您所在的位置:网站首页 › 布偶猫咪公的好还是母的好 › BurpSuite全套使用教程(超实用超详细介绍) |
0x00 环境与安装
2021专业版推荐使用jdk11 BP : https://portswigger.net/Burp/Releases 注册机:https://github.com/h3110w0r1d-y/BurpLoaderKeygen/releases java sdk: https://download.java.net/openjdk/jdk11/ri/openjdk-11+28_windows-x64_bin.zip **vbs自启动脚本:** DIM objShell DIM command set objShell=wscript.createObject("wscript.shell") command="java -javaagent:BurpLoaderKeygen.jar -noverify -jar burpsuite_pro_v2021.7.jar" iReturn=objShell.Run(command, 0, TRUE) **bat脚本启动:** java -javaagent:BurpLoaderKeygen.jar -noverify -jar burpsuite_pro_v2021.12.1.jar上面安装也可以使用 BurpSuite 2021 —— java 11 http://jdk.java.net/java-se-ri/11 BurpSuite下载: https://portswigger.net/burp/releases 激活文件(注册机): https://github.com/h3110w0r1d-y/BurpLoaderKeygen/releases 0x01 主窗口页面:新建扫描对象,这里使用的是爬取与审计测试,下面protocol模块可以设定爬取的条件,即不爬取某些对象, 第一个模块:来自代理的实时审计(所有流量) 第二个模块:从代理(所有流量)动态被动爬行
(1)proxy是最常用的模块,拦截代理流量进行操作等 (4)proxy----options模块 监听配置 拦截的代理设置,proxy就是拦截当前设置的IP与port 抓取流量后,本模块起到一个辅助的作用,可以观察捕获的页面内的链接等 将数据发到sitemap 模块 数据的加解密编码等 数据的hex值修改,常用于渗透绕过等 这个模块是经常是使用到的,这里将常用的模块列举出来 1.爆破的四种模式 Sniper:狙击手单点模式,将数据逐一填充到指定位置 Battering ram:将数据同时填充到多个指定位置,例A字典的数据同时填充到两个位置 Pitchfork:将每个字典逐一对称匹配,例如A字典的1号位与B字典的1号位匹配,绝不相交匹配 Cluster bomb:将每个字典逐一交叉匹配,例如A字典的所有位与B字典的所有位都匹配, 添加java与python环境,后面的插件自行百度使用即可 注意!配置的python的jython环境必须要有环境变量,即在cmd环境下可以直接使用python 使用端口查询: BurpSuite的其他使用: 1.dump列举sql注入的字段 2.爆破目录字典 3.爆破sql注入/xss等等,选择对应的爆破字典测试 4爆破base64 规则组合密码账户等 5… |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |