渗透测试工具-burpsuite

2022年01月15日 阅读数:7
这篇文章主要向大家介绍渗透测试工具-burpsuite,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

1.安装

1.1破解证书

1.运行keygen
在这里插入图片描述
2.修改license名字,点击run
在这里插入图片描述
3.成功打开burpsuite
在这里插入图片描述
4.将Keygen中License复制粘贴到burpsuite中,点击next–》Manual activationjava

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
5.点击Copy request,复制完成以后,将字符串粘贴到keygen的Activation Request框里,而后Activation Response框里就有告终果,以下
在这里插入图片描述
在这里插入图片描述
6.复制完后,将字符串粘贴到BurpSuite剩下的那个框里,如图,再点击Next显示激活成功
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述ios

1.2脚本启动

1.编写burpsuite.bat脚本,放入同级目录web

@echo off
set “keygen=burp-loader-keygen.jar”
set “burpsuite=burpsuite_pro_v1.7.37.jar”小程序

%1 mshta vbscript:CreateObject(“WScript.Shell”).Run("%~s0 ::",0,FALSE)(window.close)&&exit
java -Xbootclasspath/p:%keygen% -jar %burpsuite%
exit
在这里插入图片描述微信小程序

在这里插入图片描述
2.建立burpsuite.bat桌面快捷方式,点击快捷方式便可桌面启动
在这里插入图片描述浏览器

2.抓包

2.1WEB抓包

2.1.1burpsuite代理设置

1.打开burpsuite
2.Proxy --》Opyions
3.代理端口:8080
4.代理ip:127.0.0.1
(本机请求代理)
在这里插入图片描述微信

2.1.2WEB代理设置

1.下载谷歌浏览器Falcon Proxy.crx插件
谷歌浏览器插件下载地址
在这里插入图片描述svg

2.安装浏览器插件
在这里插入图片描述
3.浏览器设置代理
IP和端口要与burpsuite一致
在这里插入图片描述
4.查看抓包数据
Intrcept is on/off 控制是否拦截请求
在这里插入图片描述工具

在这里插入图片描述

2.2手机抓包

2.2.1burpsuite代理设置

1.打开burpsuite
2.Proxy --》Opyions --》Add
3.输入代理端口:8888(不重复便可)
4.输入代理ip:129.125.100.247(本机ip)
在这里插入图片描述测试

2.2.2手机代理设置

1.手机与电脑链接同一个wifi
在这里插入图片描述
2.设置代理
IP和端口要与burpsuite一致
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3.HTTPS证书设置
手机连上wifi并设置号代理后,浏览器输入代理ip和端口(129.125.100.247:8888)点击CA Certificate下载证书
在这里插入图片描述
安装证书
ios:
1.设置 --》通用 --》描述文件与设备管理 --》portSwigger CA信任安装
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
2.设置 --》通用 --》关于本机 --》证书信任设置 --》portSwigger CA信任
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
4.查看抓包数据
打开京东微信小程序
在这里插入图片描述
在这里插入图片描述

3.爆力破解

3.1爆破登陆

1.抓取登陆接口
2.选中后右键点击选择send to intruder
在这里插入图片描述
3.设置爆破变量
tap切换至intruder,选中positions
点击clear
选中要爆破变量,点击Add
在这里插入图片描述
变量类型选择(演示为6位数字验证码)
设置验证码开始–》结束和步长
点击Start attack开始爆破
观察请求相应的长度,通常比较长的那个就是成功的
在这里插入图片描述