渗透测试–越权测试BroupSuite安装教程
BroupSuite简介
BurpSuite 是用于攻击web应用程序的集成平台, 它包含了许多Burp工具,所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。是一个为渗透测试人员开发的集成平台, 利用BurpSuite,可以更高效更快速的发现系统或者服务漏洞。
安装
地址:链接:https://pan.baidu.com/s/136-uXK1tJbMdt_VxQ00Qfw
提取码:myo1
安装好JAVA和配置环境
双击
burp-loader-keygen.jar
点击
run会有一个弹窗,没反应点击运行“运行薄荷.vbs”或“”运行.bat将蓝色部分复制到框中
点击next
6. 点击手动激活(Manual activiation)
7. 将上面第二栏复制刀片key第二栏中,会自动生成第三栏
8. 将第三框复制到弹框第三栏中
9. 安装完成,点击.bat运行
功能模块
Target(目标)——显示目标目录结构的的一个功能,也就是站点。Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。Extender(扩展)——可以让你加载BurpSuite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。User Options(设置)——对BurpSuite的一些设置
BurpSuite配置(cookies值替换)
进入Proxy模块,点击Option选项,勾选默认代理和端口127.0.0.1:8080
浏览器进行配置代理,代理和端口和burpsuite一致
BurpSuite监听代理 proxy-options-add
利用浏览器进行访问,选择需要进行修改的接口–send to repeater–cookie
利用浏览器进行访问,选择需要进行修改的接口–send to repeater–cookie
替换cookie,repeater-Raw-Go