配置Java环境并安装burpsuit,用burpsuit进行简单抓包、改包,以及用Intruder爆破简单的密码

Neoma ·
更新时间:2024-11-15
· 509 次阅读

burpsuit需要在java环境下才可以使用,首先要配置Java环境,Java安装比较容易,但是在配置环境变量的时候可能会比较麻烦,要注意在安装Java时候的安装路径(会用到)

1、使用burpsuit之前先设置浏览器代理(火狐)
首先打开菜单选项,在这里插入图片描述在这里插入图片描述输入代理,点击设置,进入下面的界面
在这里插入图片描述选择手动代理配置,注意端口为8080
最后点击确定就可以了。

2、进行简单的burpsuit抓包,首先配置监听端口
打开burpsuit 选择proxy下的options在这里插入图片描述打开burpsuit的intercept,下方显示intercept is on,可视为可以抓包了。
打开浏览器,输入一个网址在这里插入图片描述在这里插入图片描述实现了抓包

3、改包的话需要用repeater模块
搜索一个内容后,使intercept is on,即开启了拦截,可看到post请求信息,右键点击选择send to repeater(Ctrl+R),将拦截信息发送到repeater,之后对其进行修改,最后点击Go,会在response中得到修改后的信息。

4、burpsuite中的intruder,可用来爆破用户名或密码,
这里以一道攻防世界的题weak_auth为例
访问网址后发现一个用户名和密码界面,在这里插入图片描述
随意填写后登陆发现提示框,则知道要用用户名admin登陆,密码随便填写,login
登陆的信息被burp suite抓取到,在这里插入图片描述点击Action,选择Send to Intruder
在这里插入图片描述选择position,先clear,再add,设置攻击类型,这里 cluster bomb是两个参数的情况
在这里插入图片描述payload1为用户名,因为已经知道用户名为admin,所以直接手动add admin
在这里插入图片描述payload2为密码,需要点击load 添加下载的密码文件

在这里插入图片描述

在这里插入图片描述点击Start attack,开始爆破密码
在这里插入图片描述

发现length不同时,查看result,找到正确密码
在这里插入图片描述
回答本题页面,输入正确的用户名,密码得到flag
在这里插入图片描述


作者:piubiutiu~



java环境 JAVA 抓包

需要 登录 后方可回复, 如果你还没有账号请 注册新账号