您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

利器burpsuit,你真的了解黑客是怎么用的嘛?

时间:2019-12-17 10:49:46  来源:  作者:

1、burp suite简介。

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

喜欢我们文章的朋友请加圈子关注我们,在公众号上输入安界网,就可以关注到我们,领取学习资料,也可以加入我们的qq群251573549

2、burp suite功能介绍

Burp有着多个不同的功能模块来进行检测,大多数的话就是用来抓取http的请求数据包,当然,通过分析http数据包来进行检测是否一方面的漏洞也是很重要。

1) 、各个功能的模块详解

Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。

Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。

Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。

Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。

Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的"差异"。

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

首先的话,就是抓包,要设置好代理,进入到options里面。点击add添加一个抓取的代理ip和端口

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

因此浏览器上面也要设置一样的ip和端口,这样才能抓取到http的一些请求包

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

接着就是点击intercet is on开始监听,因为burp的ip和端口和浏览器设置的代理一样,所以burp通过监听去抓取请求网站资源的http数据包

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

我这里的话,拿了dvwa的进行一方面的演示,可以看见我在登录的时候,如果burp的监听功能去抓取了登录请求的一个数据包,然后输入的账号密码也是抓取数据包中的内容一模一样。

 

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

 

2)数据包其它的介绍

host:消息头用于指定出现在被访问的完整url中的主机名称

user-agent:这个消息头提供与浏览器或生产请求的,其他客户端软件有关的信息

accept:这个消息头用于告诉服务器客户端愿意接受哪些内容,如图像类型,办公文档格式等

accept-language:用于生命服务器浏览器可以支持,什么语言

accept-encoding:这个消息头用于告诉服务器,客户端愿意接受哪些内容编码

referer:这个消息头用于指示提出当前请求的原始url

cookie:提交此前服务器向客户端发送的其他参数(服务器使用set-cookie消息头来设置cookie一般用于身份验证)

Drop的意思就是将抓取的数据包给丢弃掉

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

Forward的意思就是将抓取的数据包给放掉,那么网页那边也会进行一方面的继续请求。

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

2)burp的功能初始化

比如说。我们在哪个模块。不小心乱设置了。或者说乱搞了。我们可以在这里重新我们乱搞的那个模块,重置就跟一开始的一模一样。所以我们在乱搞的情况下,我们可以这样重置功能。也就是模块的初始化功能 。

 

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

all什么意思呢?可以理解为全部的意思,就是把全部模块重置。这就是初始化功能

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

3)burp改标题名

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

标题是软件头顶的那个, 我们可以在Rename project中改软件的标题名

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

4)、repeater模块

burp发送http请求 ,利用repeater模块进行发送请求, 抓到包之后,全选然后发送到repeater模块下

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后它这里就会发亮

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后一看,发送过来了

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

但是它这个GO是什么意思呢?就是把内容的http发送请求

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后右边就是响应的内容

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

如果你要访问https你就打勾。就是443,然后它就会请求的就是https

利器burpsuit,你真的了解黑客是怎么用的嘛?

 


利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后这两个一个是后退、一个是前进。就相当于浏览器中的返回上一页

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

5)scanner模块burp扫描漏洞

利用scanner模块进行扫描漏洞

它可以进行一个什么xss。sql注入的漏洞扫描(burp2.0的版本基本上没看见这个功能)

抓包之后,鼠标右键,然后发送到scanner模块

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后它会弹出框框。我们点击yes

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后它这里就会亮了

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

 

status意思就是扫描了百分之十一了。然后lssues就是扫描到多少个漏洞的意思。而request就是请求了多少次的意思

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

它支持扫描sql注入,xml注入漏洞一些,都能扫

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

而其它功能设置的话,它这里第一个是线程,第二个的意思是。请求一个网页如果失败了。它顶多会请求三次,最多请求三次,如果还是失败了,就那样了,而第三个的2000的意思就是时隔为2000毫秒

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

扫描完之后,lssues会提示扫描到多少个漏洞,然后我们双击点击3

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后就会发现一个漏洞,一个是sql注入,一个是http等等

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

然后这里就是响应的内容

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

我们可以看到。一开始的设置那里。请求三次,这里有三对,request是请求 而response就是响应,而图片中的红色感叹号代表高危,而响应内容中的红色一行一行的就是代表sql注入的参数, 而黑色就是低微,没什么用

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

扫描的设置,什么mssql和MySQL还有Oracle啊。选中之后。它就会扫描打勾了的漏洞

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

6)、spider模块爬虫

spider模块中的options就是设置,第一个是爬行的深度,比如说目录,爬到这种五级目录的话,它就不会继续爬了,因为它这里就是设置为了5

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

他这里是参数。比如说id=1. 爬到id=50.它就不会爬

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

检测这方面的文件,比如说robots文件

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

最后就是你请求过的,或者爬虫到的。它都会存到这里

利器burpsuit,你真的了解黑客是怎么用的嘛?

 

最后喜欢我文章的朋友请加圈子关注我们,私信关键词:加群。(送免费资料和优惠券)

就会自动分享给你群号。欢迎大家加入我们的安全大家庭。提高大家的安全意识,提升大家的网络安全技能一直是我们的初衷和愿景,让我们共同成为守护信息世界的"SaFeMAN"。

还有可以关注我们微信公众号,在公众号上输入安界网,就可以关注到我们,领取资料和优惠券!



Tags:burpsuit   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
故事不长,始于脸红,终于眼红,爱而不得,皆是遗憾。。。 ---- 网易云热评 一、用户设置 1、选项卡字体及风格设置User options--》Display 2、设置数据包的字体及风格样式 3、设...【详细内容】
2021-06-04  Tags: burpsuit  点击:(386)  评论:(0)  加入收藏
firefox直连https://www.baidu.com 为了分析HTTPS访问百度首页的数据包信息,需要BurpSuite作为正向代理,事先获取数据包,然后进行分析。由于是正向代理,firefox必须获知,所以需要...【详细内容】
2020-07-23  Tags: burpsuit  点击:(97)  评论:(0)  加入收藏
1、burp suite简介。Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求...【详细内容】
2019-12-17  Tags: burpsuit  点击:(101)  评论:(0)  加入收藏
很多时候我们都要看我们使用的软件发送的什么包,或者我们使用的网站发送的数据包是什么,甚至我们还想修改一下里面的数据来看看。再这里给大家来介绍一下我们入了利用Proxifie...【详细内容】
2019-11-25  Tags: burpsuit  点击:(583)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条