burpsuite2020是一款用于測(cè)試Web安全性的電腦網(wǎng)絡(luò)安全測(cè)試軟件，全稱為burp suite professional2020，主要是為信息安全從業(yè)人員們提供的，為用戶提供了執(zhí)行Web應(yīng)用程序安全性測(cè)試的簡(jiǎn)單方法，同時(shí)內(nèi)置Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer等多個(gè)工具模塊供用戶自由選擇使用，并都是成型的滲透測(cè)試工具，直接采用了自動(dòng)測(cè)試和半自動(dòng)測(cè)試的方式，使用起來十分方便，而且在burpsuite2020中不僅涵蓋了100多個(gè)通用漏洞，而且其中的掃描邏輯會(huì)不斷進(jìn)行改進(jìn)，以確保能夠幫助用戶快速的找到最新的漏洞和現(xiàn)有漏洞的新情況，從而更好的幫助用戶進(jìn)行攔截、修改、重新放置數(shù)據(jù)包等進(jìn)行測(cè)試，輕松滿足用戶的使用需求。除此之外，在burpsuite2020軟件里面，不但可以通過利用AST技術(shù)、配置掃描、瀏覽器驅(qū)動(dòng)掃描等功能來進(jìn)行自動(dòng)掃描漏洞，還能手動(dòng)管理偵查數(shù)據(jù)、測(cè)試點(diǎn)擊劫持攻擊、暴露隱藏的攻擊面等滲透測(cè)試功能，以便可以全方面的為你提供一定的安全性。

ps：本次小編為用戶們帶來的是burpsuite2020破解版，附帶了相對(duì)應(yīng)的注冊(cè)機(jī)可以有效的幫助大家免費(fèi)激活軟件，并該版本還是漢化版的，更適合國(guó)人使用，歡迎有需要的用戶們免費(fèi)下載體驗(yàn)。

burpsuite2020破解版安裝教程：

注意：Burp Suite Pro 2020.8版本需要 JDK 9 以上才能運(yùn)行，否則會(huì)出現(xiàn)閃退情況。

1、下載解壓，得到burp suite professional2020中文程序和注冊(cè)機(jī)文件；

2、首先，雙擊 “Burp_start_chs.vbs” 可以啟動(dòng)中文版軟件， “Burp_start_en.vbs” 是英文版，提示輸入許可證；

3、打開注冊(cè)機(jī)，將許可證密鑰復(fù)制然后點(diǎn)擊下一步；

4、彈出激活方式，這里我們選擇手動(dòng)激活；

5、將激活請(qǐng)求復(fù)制到注冊(cè)機(jī)，然后再將激活響應(yīng)復(fù)制到軟件內(nèi)，即可完成激活；

6、至此，burp suite professional2020中文破解版成功破解，所有功能全部免費(fèi)使用。

功能介紹

一、Web漏洞掃描程序

1、涵蓋了100多個(gè)通用漏洞，例如SQL注入和跨站點(diǎn)腳本（XSS），在OWASP前10名中的所有漏洞中均具有出色的性能。

2、Burp的尖端 Web應(yīng)用程序搜尋器 準(zhǔn)確地映射內(nèi)容和功能，自動(dòng)處理會(huì)話，狀態(tài)更改，易失性內(nèi)容和應(yīng)用程序登錄。

3、Burp Scanner包括一個(gè)完整的 JavaScript分析 引擎，該引擎結(jié)合了靜態(tài)（SAST）和動(dòng)態(tài)（DAST）技術(shù)，用于檢測(cè)客戶端JavaScript（例如基于DOM的跨站點(diǎn)腳本）中的安全漏洞。

4、Burp率先使用高度創(chuàng)新 的帶外技術(shù)（OAST） 來增強(qiáng)傳統(tǒng)的掃描模型。Burp Collaborator技術(shù)使Burp可以檢測(cè)在應(yīng)用程序外部行為中完全不可見的服務(wù)器端漏洞，甚至報(bào)告在掃描完成后異步觸發(fā)的漏洞。

5、Burp Infiltrator技術(shù)可用于檢測(cè)目標(biāo)應(yīng)用程序，以在其有效負(fù)載到達(dá)應(yīng)用程序內(nèi)的危險(xiǎn)API時(shí)向Burp Scanner提供實(shí)時(shí)反饋，從而執(zhí)行交互式應(yīng)用程序安全測(cè)試（IAST）。

6、Burp的掃描邏輯會(huì)不斷進(jìn)行改進(jìn)，以確保能夠找到最新的漏洞和現(xiàn)有漏洞的新情況。近年來，Burp成為第一臺(tái)檢測(cè)Burp研究團(tuán)隊(duì)首創(chuàng)的新型漏洞的掃描儀，包括模板注入和Web緩存中毒。

7、所有報(bào)告的漏洞均包含詳細(xì)的自定義建議。這些內(nèi)容包括問題的完整說明以及逐步的修復(fù)建議。會(huì)針對(duì)每個(gè)問題動(dòng)態(tài)生成建議性措詞，并準(zhǔn)確描述任何特殊功能或補(bǔ)救點(diǎn)。

二、先進(jìn)的手動(dòng)工具

1、使用Burp項(xiàng)目文件實(shí)時(shí)增量保存您的工作，并從上次中斷的地方無縫接聽。

2、使用配置庫(kù)可以使用不同的設(shè)置快速啟動(dòng)目標(biāo)掃描。

3、在Burp的中央儀表板上查看所有發(fā)現(xiàn)的漏洞的實(shí)時(shí)反饋。

4、將手動(dòng)插入點(diǎn)放置 在請(qǐng)求中的任意位置，以通知掃描儀有關(guān)非標(biāo)準(zhǔn)輸入和數(shù)據(jù)格式的信息。

5、瀏覽時(shí) 使用 實(shí)時(shí)掃描， 以完全控制針對(duì)哪些請(qǐng)求執(zhí)行的操作。

6、Burp可以選擇報(bào)告所有反映和存儲(chǔ)的輸入，即使尚未確認(rèn)漏洞，也可以方便手動(dòng)測(cè)試跨站點(diǎn)腳本之類的問題。

7、您可以導(dǎo)出發(fā)現(xiàn)的漏洞的格式精美的HTML報(bào)告。

8、CSRF PoC Generator函數(shù)可用于為給定請(qǐng)求生成概念驗(yàn)證跨站點(diǎn)請(qǐng)求偽造（CSRF）攻擊。

9、內(nèi)容發(fā)現(xiàn)功能可用于發(fā)現(xiàn)隱藏的內(nèi)容和未與可瀏覽的可見內(nèi)容鏈接的功能。

10、目標(biāo)分析器功能可用于分析目標(biāo)Web應(yīng)用程序，并告訴您它包含多少個(gè)靜態(tài)和動(dòng)態(tài)URL，以及每個(gè)URL包含多少個(gè)參數(shù)。

11、Burp Intruder是用于自動(dòng)化針對(duì)應(yīng)用程序的自定義攻擊的高級(jí)工具。它可以用于多種目的，以提高手動(dòng)測(cè)試的速度和準(zhǔn)確性。

12、入侵者捕獲詳細(xì)的攻擊結(jié)果，并以表格形式清晰地顯示有關(guān)每個(gè)請(qǐng)求和響應(yīng)的所有相關(guān)信息。捕獲的數(shù)據(jù)包括有效載荷值和位置，HTTP狀態(tài)代碼，響應(yīng)計(jì)時(shí)器，cookie，重定向數(shù)以及任何已配置的grep或數(shù)據(jù)提取設(shè)置的結(jié)果。

三、基本手動(dòng)工具

1、Burp Proxy允許手動(dòng)測(cè)試人員攔截瀏覽器和目標(biāo)應(yīng)用程序之間的所有請(qǐng)求和響應(yīng)，即使使用HTTPS時(shí)也是如此。

2、您可以查看，編輯或刪除單個(gè)消息，以操縱應(yīng)用程序的服務(wù)器端或客戶端組件。

3、該代理歷史記錄所有請(qǐng)求和響應(yīng)通過代理的全部細(xì)節(jié)。

4、您可以用注釋和彩色突出顯示來注釋單個(gè)項(xiàng)目，以便標(biāo)記有趣的項(xiàng)目，以便以后進(jìn)行手動(dòng)后續(xù)操作。

5、Burp Proxy可以對(duì)響應(yīng)執(zhí)行各種自動(dòng)修改，以方便測(cè)試。例如，您可以取消隱藏隱藏的表單字段，啟用禁用的表單字段并刪除JavaScript表單驗(yàn)證。

6、您可以使用匹配和替換規(guī)則，將自定義修改自動(dòng)應(yīng)用于通過代理傳遞的請(qǐng)求和響應(yīng)。您可以創(chuàng)建對(duì)消息標(biāo)題和正文，請(qǐng)求參數(shù)或URL文件路徑進(jìn)行操作的規(guī)則。

7、Burp有助于消除攔截HTTPS連接時(shí)可能發(fā)生的瀏覽器安全警告。安裝時(shí)，Burp會(huì)生成一個(gè)唯一的CA證書，您可以將其安裝在瀏覽器中。然后，為您訪問的每個(gè)域生成主機(jī)證書，并由受信任的CA證書簽名。

8、Burp支持對(duì)非代理感知客戶端的無形代理，從而可以測(cè)試非標(biāo)準(zhǔn)用戶代理，例如胖客戶端應(yīng)用程序和某些移動(dòng)應(yīng)用程序。

9、HTML5 WebSockets消息以與常規(guī)HTTP消息相同的方式被攔截并記錄到單獨(dú)的歷史記錄中。

10、您可以配置細(xì)粒度的攔截規(guī)則，以精確控制要攔截的消息，從而使您可以專注于最有趣的交互。

11、該目標(biāo)站點(diǎn)地圖顯示所有已在網(wǎng)站被發(fā)現(xiàn)被測(cè)試的內(nèi)容。內(nèi)容以樹形視圖顯示，該視圖與站點(diǎn)的URL結(jié)構(gòu)相對(duì)應(yīng)。在樹中選擇分支或節(jié)點(diǎn)將顯示單個(gè)項(xiàng)目的列表，并在需要時(shí)提供完整的詳細(xì)信息，包括請(qǐng)求和響應(yīng)。

12、所有請(qǐng)求和響應(yīng)都顯示在功能豐富的HTTP消息編輯器中。這提供了對(duì)基礎(chǔ)消息的大量視圖，以幫助分析和修改其內(nèi)容。

13、可以在Burp工具之間輕松發(fā)送單獨(dú)的請(qǐng)求和響應(yīng)，以支持各種手動(dòng)測(cè)試工作流程。

14、使用Repeater工具，您可以手動(dòng)編輯和重新發(fā)出單個(gè)請(qǐng)求，以及完整的請(qǐng)求和響應(yīng)歷史記錄。

15、Sequencer工具用于使用標(biāo)準(zhǔn)密碼測(cè)試的隨機(jī)性對(duì)會(huì)話令牌進(jìn)行統(tǒng)計(jì)分析

16、解碼器工具使您可以在現(xiàn)代網(wǎng)絡(luò)上使用的常見編碼方案和格式之間轉(zhuǎn)換數(shù)據(jù)。

17、Clickbandit工具針對(duì)易受攻擊的應(yīng)用程序功能生成有效的Clickjacking攻擊。

18、比較器工具在成對(duì)的請(qǐng)求和響應(yīng)或其他有趣的數(shù)據(jù)之間執(zhí)行視覺區(qū)別。

19、您可以創(chuàng)建自定義會(huì)話處理規(guī)則來處理特定情況。會(huì)話處理規(guī)則可以自動(dòng)登錄，檢測(cè)和恢復(fù)無效的會(huì)話以及獲取有效的CSRF令牌。

20、強(qiáng)大的Burp Extender API允許擴(kuò)展自定義Burp的行為并與其他工具集成。Burp擴(kuò)展的常見用例包括即時(shí)修改HTTP請(qǐng)求和響應(yīng)，自定義Burp UI，添加自定義掃描程序檢查以及訪問關(guān)鍵的運(yùn)行時(shí)信息，包括爬網(wǎng)和掃描結(jié)果。

21、該BAPP商店是貢獻(xiàn)的爆發(fā)式的用戶社區(qū)隨時(shí)可以使用擴(kuò)展的存儲(chǔ)庫(kù)。只需在Burp UI中單擊即可安裝這些工具。

burp suite使用教程

1、首先需要安裝一個(gè)java環(huán)境。

2、然后需要下載好一個(gè)burpsuite的軟件，如果是jar包就用java -jar 打開就可以了。

3、如果要使用代理的話，可以使用火狐插件FoxyProxy設(shè)置。

4、Burp Suite 2020也要對(duì)應(yīng)設(shè)置好。

5、先點(diǎn)擊這里就可以對(duì)訪問的流量進(jìn)行一個(gè)攔截。

6、瀏覽器對(duì)網(wǎng)址進(jìn)行訪問，即可成功截取請(qǐng)求信息。

軟件特點(diǎn)

1、自動(dòng)收獲低垂的水果

Web漏洞掃描程序是Burp Suite Professional的核心。這是世界上許多最大的組織信任的掃描儀。

該掃描儀涵蓋整個(gè)OWASP Top 10，并且能夠進(jìn)行被動(dòng)和主動(dòng)分析。當(dāng)然，開發(fā)工作由PortSwigger的世界領(lǐng)先研究團(tuán)隊(duì)負(fù)責(zé)。2、通過人工指導(dǎo)的自動(dòng)化節(jié)省更多時(shí)間

使用純自動(dòng)化工具無法找到每個(gè)Web安全漏洞。許多需要某種形式的人工輸入。但是，利用這些漏洞通?？赡苁且患钊藚挓┑娜蝿?wù)。Burp Intruder等強(qiáng)大的省力工具可讓您更好地利用自己的時(shí)間。當(dāng)對(duì)漏洞進(jìn)行模糊處理或使用其他蠻力技術(shù)時(shí)，尤其如此。

3、瑞士黑客專用刀

很容易看出Burp Suite Pro為何起作用。這是一個(gè)真正的一站式解決方案，可快速，可靠地發(fā)現(xiàn)和利用Web應(yīng)用程序中的漏洞。但這還不止于此。通過BApp Store，您可以訪問數(shù)百個(gè)社區(qū)生成的插件。Burp Suite的Extender API允許您編寫自己的。通過以這種方式增強(qiáng)Burp Suite Pro的功能，其應(yīng)用幾乎變得無限。

4、業(yè)界最受歡迎的工具

Burp Suite Professional在130多個(gè)國(guó)家/地區(qū)擁有40，000多名用戶。這使其成為用于Web安全測(cè)試的世界上使用最廣泛的工具箱。這不是偶然發(fā)生的。我們的工具眾所周知是用戶知識(shí)的倍增器。

5、其他人跟隨

Burp最初由我們的創(chuàng)始人Dafydd Stuttard撰寫。您可能會(huì)從The Web Application Hacker's Handbook（關(guān)于Web安全的事實(shí)上的標(biāo)準(zhǔn)教科書）中知道Daf的名字。Daf仍然領(lǐng)導(dǎo)我們的開發(fā)團(tuán)隊(duì)。沒有研究，您將無法擁有最先進(jìn)的工具- 我們的團(tuán)隊(duì)是首屈一指的。PortSwigger致力于教育，您將在全球各地的會(huì)議上找到我們。

burpsuite2020相關(guān)問題

1、什么是網(wǎng)站漏洞掃描？

網(wǎng)站漏洞掃描是發(fā)現(xiàn)網(wǎng)站安全漏洞的最快方法。防御者可以定期運(yùn)行自動(dòng)掃描-允許他們修復(fù)出現(xiàn)的問題。考慮到網(wǎng)絡(luò)安全的快速發(fā)展，這一點(diǎn)很重要。如果沒有漏洞掃描，則很難保持和保持合規(guī)性/避免數(shù)據(jù)泄露。

為此，防御者使用一種稱為Web漏洞掃描程序的軟件。漏洞掃描程序比手動(dòng)測(cè)試有效得多，并且最好的工具可以標(biāo)記除最奇特的bug外的所有bug。軟件的核心的漏洞掃描器就是這樣一種工具。

2、為什么需要漏洞掃描器？

數(shù)據(jù)保護(hù)法規(guī)正在增加。數(shù)據(jù)泄露的潛在后果比以往任何時(shí)候都要糟。但是，缺乏安全意識(shí)意味著網(wǎng)站通常建有漏洞-使其面臨遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。通過使用軟件之類的軟件進(jìn)行漏洞測(cè)試，您可以大大降低風(fēng)險(xiǎn)。

甚至專家滲透測(cè)試人員都可以從使用漏洞掃描程序中受益。人們根本無法像計(jì)算機(jī)那樣快速，詳細(xì)地檢查網(wǎng)站。并且使用掃描儀將在短期內(nèi)概述站點(diǎn)的安全性。這使戊二酸酯可以自由地使用他們的技能來探測(cè)深?yuàn)W的缺陷。

3、Burp Web漏洞掃描程序可以做什么？

我們的掃描儀可以使用被動(dòng)和主動(dòng)兩種方法來測(cè)試站點(diǎn)的安全性。這些方法中更具攻擊性的-主動(dòng)掃描-實(shí)際上將模擬攻擊以發(fā)現(xiàn)漏洞。軟件允許您根據(jù)自己的需要量身定制掃描-無論您需要快速，簡(jiǎn)單的方法還是更深入的安全性視圖。

Burp Scanner可以檢測(cè)到一系列常見錯(cuò)誤，包括跨站點(diǎn)腳本（XSS）和SQL注入。但這遠(yuǎn)不止于此-檢測(cè)大量其他漏洞。HTTP請(qǐng)求走私是最近的一個(gè)例子，并大量建立在PortSwigger的研究基礎(chǔ)上。

4、如何選擇漏洞掃描軟件？

由于Web漏洞掃描程序有許多用途，因此它們往往以不同的方式打包。例如，PortSwigger同時(shí)生產(chǎn)本軟件和Enterprise Edition。兩者都包含Burp Web漏洞掃描程序，但是它們是非常不同的軟件。

軟件是面向漏洞賞金獵人和滲透測(cè)試人員的高級(jí)工具包。軟件企業(yè)版是適用于組織和開發(fā)團(tuán)隊(duì)的可擴(kuò)展的自動(dòng)掃描儀。如您所見，各種各樣的組織選擇Burp來提供保護(hù)

翻譯對(duì)照

BurpBurpSuitesave state wizard保存狀態(tài)向?qū)?/p>

restore state恢復(fù)狀態(tài)

Remember setting記住設(shè)置

restore defaults恢復(fù)默認(rèn)

Intruder入侵者

Start attack開始攻擊(爆破)

Actively scan defined insertion points定義主動(dòng)掃描插入點(diǎn)

Repeater中繼器

New tab behavior新標(biāo)簽的行為

Automatic payload positions自動(dòng)負(fù)載位置

config predefined payload lists配置預(yù)定義的有效載荷清單

Update content-length更新內(nèi)容長(zhǎng)度

unpack gzip/deflate解壓gzip/放棄

Follow redirections跟隨重定向

process cookies in redirections在重定向過程中的cookies

View視圖

Action行為

功能項(xiàng)

Target目標(biāo)

Proxy代理

Spider蜘蛛

Scanner掃描

Intruder入侵者

Repeater中繼器

Sequencer定序器

Decoder解碼器

Comparer比較器

Extender擴(kuò)展

Options設(shè)置

Detach分離

Filter過濾器

SiteMap網(wǎng)站地圖

Scope范圍

Filter by request type通過請(qǐng)求過濾

Intercept攔截

response Modification響應(yīng)修改

match and replace匹配和替換

ssl pass throughSSL通過

Miscellaneous雜項(xiàng)

spider status蜘蛛狀態(tài)

crawler settings履帶式設(shè)置

passive spidering被動(dòng)蜘蛛

form submission表單提交

application login應(yīng)用程序登錄

spider engine蜘蛛引擎

scan queue掃描隊(duì)列

live scanning現(xiàn)場(chǎng)掃描

live active scanning現(xiàn)場(chǎng)主動(dòng)掃描

live passive scanning現(xiàn)場(chǎng)被動(dòng)掃描

attack insertion points攻擊插入點(diǎn)

active scanning optimization主動(dòng)掃描優(yōu)化

active scanning areas主動(dòng)掃描區(qū)域

passive scanning areas被動(dòng)掃描區(qū)域

Payload有效載荷

payload processing有效載荷處理

select live capture request選擇現(xiàn)場(chǎng)捕獲請(qǐng)求

token location within response內(nèi)響應(yīng)令牌的位置

live capture options實(shí)時(shí)捕捉選項(xiàng)

Manual load手動(dòng)加載

Analyze now現(xiàn)在分析

Platform authentication平臺(tái)認(rèn)證

Upstream proxy servers上游代理服務(wù)器

Grep Extrack提取

常見問題

1、Burp Suite安裝教程

Burp Suite Professional是一個(gè)無需安裝軟件，下載完成后，直接從命令行啟用即可。但Burp Suite是用Java語言開發(fā)的，運(yùn)行時(shí)依賴于JRE，需要提前Java可運(yùn)行環(huán)境。如果沒有配置Java環(huán)境或者不知道如何配置的童鞋下文有Java環(huán)境配置 配置完Java環(huán)境之后，首先驗(yàn)證Java配置是否正確，如果輸入java -version 出現(xiàn)下圖的結(jié)果，證明配置正確且已完成。

這時(shí)，你只要在cmd里執(zhí)行java -jar /your_burpsuite_path/burpSuite.jar即可啟動(dòng)Burp Suite,或者，你將Burp Suite的jar放入class_path目錄下，直接執(zhí)行java -jar burpSuite.jar也可以啟動(dòng)。

注意：your_burpsuite_path為你Burp Suite所在路徑，burpSuite.jar文件名必須跟你下載的jar文件名稱一致

如果Java可運(yùn)行環(huán)境配置正確的話，當(dāng)你雙擊burpSuite.jar即可啟動(dòng)軟件，這時(shí)，Burp Suite自己會(huì)自動(dòng)分配最大的可用內(nèi)存，具體實(shí)際分配了多少內(nèi)存，默認(rèn)一般為64M。當(dāng)我們?cè)跐B透測(cè)試過程，如果有成千上萬個(gè)請(qǐng)求通過Burp Suite，這時(shí)就可能會(huì)導(dǎo)致Burp Suite因內(nèi)存不足而崩潰，從而會(huì)丟失滲透測(cè)試過程中的相關(guān)數(shù)據(jù)，這是我們不希望看到的。因此，當(dāng)我們啟動(dòng)Burp Suite時(shí)，通常會(huì)指定它使用的內(nèi)存大小。 一般來說，我們通常會(huì)分配2G的內(nèi)存供Burp Suite使用，如果你的電腦內(nèi)存足夠，可以分配4G；如果你的電腦內(nèi)存足夠小，你也可以分配128M。當(dāng)你給Burp Suite分配足夠多的內(nèi)存時(shí)，它能做的工作也會(huì)更多。指定Burp Suite占用內(nèi)存大小的具體配置方法是在啟動(dòng)腳本里添加如下命令行參數(shù)： 假設(shè)啟動(dòng)腳本的名稱為burp_suite_start.bat，則該bat腳本的內(nèi)容為

java -jar -Xmx2048M /your_burpsuite_path/burpsuite.jar

其中參數(shù)-Xmx指定JVM可用的最大內(nèi)存，單位可以是M，也可以是G，如果是G為單位的話，則腳本內(nèi)容為：

java -jar -Xmx2G /your_burpsuite_path/burpsuite.jar

Burp Suite是不支持IPv6地址進(jìn)行數(shù)據(jù)通信的，這時(shí)在cmd控制臺(tái)里就會(huì)拋出如下異常

java.net.SocketException: Permission denied

同時(shí)，瀏覽器訪問時(shí)，也會(huì)出現(xiàn)異常

Burp proxy error: Permission denied: connect

當(dāng)出現(xiàn)如上問題時(shí)，我們需要修改啟動(dòng)腳本，添加對(duì)IPv4的指定后，重啟Burp Suite即可。

java -jar -Xmx2048M -Djava.net.preferIPv4Stack=true /your_burpsuite_path/burpsuite.jar

通過 -Djava.net.preferIPv4Stack=true參數(shù)的設(shè)置，告訴Java運(yùn)行環(huán)境，使用IPv4協(xié)議棧進(jìn)行數(shù)據(jù)通信，IPv6協(xié)議將會(huì)被禁止使用。 這個(gè)錯(cuò)誤最常見于64位的windows操作系統(tǒng)上，使用了32位的JDK

2、burpsuite抓包教程

首先要安裝java JDK，然后安裝burp suite軟件，打開工具包中的Burpsuite文件夾，該文件夾里有兩個(gè)jar包，雙擊打開BurpLoader.jar

打開后點(diǎn)擊I Accept，next后點(diǎn)擊Start Burp

然后需要，配置Burp 代理

依次點(diǎn)擊Proxy —> Options —> add —> Binding —>設(shè)置端口和IP —> OK

IP設(shè)置為本機(jī)回環(huán)IP（127.0.0.1），端口設(shè)置為8080

然后打開Burp已經(jīng)有默認(rèn)的代理127.0.0.1:8080，勾選即可用。

配置瀏覽器的代理，這里以firefox為例，其它瀏覽器類似。

打開firefox —> 打開菜單 —> 選項(xiàng)

然后高級(jí)—— > 設(shè)置

選擇 手動(dòng)配置代理 —> 設(shè)置代理IP 127.0.0.1 —> 端口8080 —> 選中 為所有協(xié)議使用相同代理 —> 確定

以上設(shè)置完成后，就可以進(jìn)行抓包爆破了。

首先進(jìn)行抓包，Proxy —> Intercept —Intercept is off/on

這里：Intercept is off代表不抓包，Intercept is on抓包。

設(shè)置Intercept is on時(shí)，點(diǎn)擊需要抓取包的頁(yè)面，就可以抓取請(qǐng)求包

以下以抓取weblogic登錄時(shí)的請(qǐng)求包為例講解。

輸入用戶名和密碼 —> 設(shè)置Intercept is on —> 點(diǎn)擊登錄 —> 抓包成功

3、burpsuite爆破密碼

如果抓取登錄的請(qǐng)求包后并且用戶名和密碼都是明文的話，便可進(jìn)行爆破。

接下來，爆破操作步驟如下：

Action —> Sent to Intruder

Intruder —> Positions

單擊Clear ，然后分別 選中admin —> Add

選中123456 —> Add

選擇爆破模式：Cluster bomb

在彈出的對(duì)話框中，添加用戶名字典和密碼字典，然后點(diǎn)擊 Payloads

當(dāng)然你也可以寫好一個(gè)txt文件，導(dǎo)入即可。

執(zhí)行爆破：點(diǎn)擊Start attack

結(jié)果查看，通過Length來判斷爆破是否成功。

那么可以根據(jù)這個(gè)長(zhǎng)度判斷出，爆破出的用戶名是admin密碼是axis2。

爆破成功的用戶名和密碼返回長(zhǎng)度與失敗的返回長(zhǎng)度差異很大。

4、burpsuite使用教程

首先需要安裝一個(gè)java環(huán)境。

然后需要下載好一個(gè)burpsuite的軟件，如果是jar包就用java -jar 打開就可以了。

如果要使用代理的話，可以使用fillder導(dǎo)流或者進(jìn)行設(shè)置代理。

我們先點(diǎn)擊這里就可以對(duì)訪問的流量進(jìn)行一個(gè)攔截。

使用瀏覽器對(duì)網(wǎng)址進(jìn)行訪問。

點(diǎn)擊這里就可以讓攔截的包發(fā)送出去。