Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。BurpSuite需要JAVA支持，请先安装JAVA环境。在kali及PentestBox默认集成了BurpSuite，BurpSuite是一款强大的渗透辅助测试工具，在本例中主要介绍如何利用其“入侵”功能来破解别人的webshell，当然也可以用BurpSuite来扫描后台登陆口令，其原理和方法类似，仅仅是设置密码字段为变量即可。
21.1应用场景
在渗透测试过程中，目标有可能已经被黑客入侵过，在扫描过程中会发现入侵者留下的Webshell等，但Webshell一般都有密码，如图1所示，如果能够获取密码，那么就能顺利进入目标系统，Webshell有一句话的也有大马型的，本例场景为大马。

图1webshell大马

21.2Burpsuite安装与设置
Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。
&