目录
前言
模块介绍
Burp安装
burp配置与jdk环境安装
首次激活
浏览器配置
设置代理端口
导入Burp证书
Chrome浏览器导入证书
Firefox导入证书
前言
Burp Suite是一个用于测试网络应用程序安全性的图形化工具,如进行HTTP网站流量抓取、数据重放、表单爆破等。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版(只有基本功能)、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外,该工具还包含更高级的选项,如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。
模块介绍
常用模块介绍如下
Burp安装
burp配置与jdk环境安装
burp的使用需要jdk环境,新版的burp需jdk版本大于11
burp配置
下载安装包后新增burp.bat文件,用于启动burp
java -javaagent:ja-netfilter.jar --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -jar burpsuite_pro_v2022.9.1.jar
Java环境安装
安装jdk13
下载地址:Java Archive Downloads - Java SE 13
首次激活
将burp中的所有文件复制到burp中的jdk目录中
双击burp.bat启动burp和ddosi.org.vbs,启动burp和license加载器
如下
复制过去点击next
点击Manual actication
如下操作
点击next
出现Success说明成功,最后点击Finish进入到burp
根据页面提示,点击next —> Start Burp
调整burp字体
然后把字体改成14或者12,这样能解决光标一放到http请求体中,字体见间距就变大的问题(高清屏下的问题)
浏览器配置
设置代理端口
可以通过浏览器自带的代理进行代理设置,或者是通过代理插件来设置代理
浏览器中点击设置—网络设置
设置代理服务器和端口,与burp中的监听端口相对应
导入Burp证书
当我们挂了burp代理但是没有导入证书的话,我们抓取https网站流量的包会显示不安全,如下这样
Chrome浏览器导入证书
1. 下载证书
挂上bp代理,地址栏输入 127.0.0.1:8080,将证书下载下来保存为.cer结尾的文件
2. 导入证书
地址栏输入
chrome://settings/security
选择管理证书
选择受信任的根证书颁发机构,将保存的证书导入就行,然后关闭浏览器重新访问百度,发现可以正常访问了
安装代理插件
Chrome默认使用的是系统全局代理,这样很不方便抓包。我们只想chrome浏览器的流量转到burp,所以使用代理插件
1. SwitchyOmega_Chromium
下载地址 ->chrome代理
2. 导入插件
选择如下
将开发者模式打开如下
3. 将下载的代理文件解压,然后将整个文件夹托进行,然后配置一下就可以了
配置好后如下
Firefox导入证书
1. 下载证书
地址栏输入 http:burp,下载证书,保存为.cert
2. 导入证书
地址栏输入
about:preferences#searchResults
搜索证书
点击导入
勾选信任
导入之后,关闭浏览器,重新打开就可以了。
如果有时候火狐浏览器访问https的网站显示对等端的证书有一个无效的签名而访问失败,则是证书坏了,重新按照上面的步骤导入证书就行, 然后重启浏览器。
安装代理插件
也推荐使用“SwitchyOmega”
访问:
https://addons.mozilla.org/zh-CN/firefox/search/?q=SwitchyOmega
进行安装即可
