burpsuit需要在java环境下才可以使用,首先要配置Java环境,Java安装比较容易,但是在配置环境变量的时候可能会比较麻烦,要注意在安装Java时候的安装路径(会用到)
1、使用burpsuit之前先设置浏览器代理(火狐)
首先打开菜单选项,输入代理,点击设置,进入下面的界面
选择手动代理配置,注意端口为8080
最后点击确定就可以了。
2、进行简单的burpsuit抓包,首先配置监听端口
打开burpsuit 选择proxy下的options打开burpsuit的intercept,下方显示intercept is on,可视为可以抓包了。
打开浏览器,输入一个网址实现了抓包
3、改包的话需要用repeater模块
搜索一个内容后,使intercept is on,即开启了拦截,可看到post请求信息,右键点击选择send to repeater(Ctrl+R),将拦截信息发送到repeater,之后对其进行修改,最后点击Go,会在response中得到修改后的信息。
4、burpsuite中的intruder,可用来爆破用户名或密码,
这里以一道攻防世界的题weak_auth为例
访问网址后发现一个用户名和密码界面,
随意填写后登陆发现提示框,则知道要用用户名admin登陆,密码随便填写,login
登陆的信息被burp suite抓取到,点击Action,选择Send to Intruder
选择position,先clear,再add,设置攻击类型,这里 cluster bomb是两个参数的情况
payload1为用户名,因为已经知道用户名为admin,所以直接手动add admin
payload2为密码,需要点击load 添加下载的密码文件
点击Start attack,开始爆破密码
发现length不同时,查看result,找到正确密码
回答本题页面,输入正确的用户名,密码得到flag