Burp的安装教程这里就不再写了,网上有很多教程。
一下介绍一下Burp的简单的使用(大佬勿喷)
抓包
首先将浏览器的代理设为Burp的代理(默认是127.0.0.1的8080端口)。
然后打开代理,这里我用了一个Chrom的插件直接改的代理。相对来说比较方便。插件名为FoxyProxy Standard。插件界面如下。
设置好之后开启Burp抓包(在Proxy选项下Intercept)在这个界面将第三个按钮设为Intercept is on(如果不是就点一下按钮就可以),然后就可以进行抓包了。
如果想要抓https网页的包需要在浏览器中导入一个Burp自己的一个证书。就可以抓到了。
攻击
Burp中设置了Inturder模块,可以在此模块中进行对网站的一些攻击。
可以设置攻击的一些参数。
xXzUzMDg2Njkw,size_16,color_FFFFFF,t_70)然后再Payloads里面设置如何攻击,设置刚刚参数的值等,在Options里面可以设置一些线程等的东西。设置完成后点击上图的Start attack,就可以对网站进行攻击了。可以对密码进行爆破,对网站进行多线程重复发包等。
Repeater
Burp中有个模块是Repeater模块,在这个模块中你可以对抓到的包进行一些修改,测试一些漏洞点等等。可以对包的参数进行修改。
对抓到的包可以点右键有个Send to Repeater选项就可以将抓到的包发送到Repeater模块。
点击go就可以进行发包,右边的框里就可以显示回包的信息。
加密解密
Burp还提供了加解密功能那就是Decoder模块。
在这个模块里你可以对一些明文进行加密,还可以对一些密文解密
如图所示,在框里输入之后右边会有选项,Decode为解密,可以有一些解密的算法。
Encode为加密。
比较
Burp提供了Comparer模块可以对两个包进行比较不同。省去了人工找不同的麻烦。
在Proxy模块里将包发送到Comparer模块中然后选择俩包进行比较,可以看到可以有两种比较方式,一种是Words另一种是Bytes。
扩展
Burp还提供了扩展模块,可以供对Burp功能进行增强。可以是Java的模块,也可以是python的模块(python的需要额外下载其他的东西),