目录
burpsuite常规操作
本文主要对burpsuite常用的功能操作做介绍
软件安装burpsuite软件依赖java环境,所以使用前需要安装jdk
下载地址:配置代理然后需要在浏览器中配置代理
IE:设置 -> internet选项 -> 连接 -> 局域网设置 -> 代理服务器Firefox:选项 -> 高级 -> 网络 -> 设置 -> 连接设置 也可以借助插件例如 proxy switcher来一键设置Chrome:设置 -> 下滑到最下面高级 -> 系统 -> 打开您计算机的代理设置 -> 手动设置代理 也可以借助插件例如 SwitchyOmega来一键设置上述配置的地址和端口跟burpsuite,proxy选项卡下的options下的IP和端口保持一致,这就说明让浏览器发出的http请求先经过burpsuite代理,然后再到服务端。
功能介绍正确配置代理后,即可通过burpsuite抓包,这里提一点,当抓取https的站点时,需要在浏览器中导入burpsuite证书,直接在配置代理的浏览器中访问127.0.0.1:8080即可下载证书,导入到浏览器即可。
1)抓包改包
当 proxy选项卡 -> intercept 选项卡 -> intercept is on 开启时,表明burp处于抓包拦截状态,此时在配置好代理的浏览器中访问http请求,请求会拦截在burpsuite中
这时,可以在数据包内容框右键sent to repeater,将数据包发送到repeater选项卡
在repeater选项卡中,就可以方便对数据包进行更改重放操作,对请求修改后点击go即可重放
当然也可以对拦截的请求修改后点击 forward 单步放行
2)暴力破解
burpsuite的另一个实用功能是可以执行暴力破解或者fuzz测试,位于 intruder 选项卡,比如我们先拦截一个登陆框POST请求,右键发送到 intreder
然后切换到intruter 选项卡,有三个子项需要配置
在postions 选项卡中配置要爆破的字段
比如爆破用户名密码两个字段,就选中用户名内容点击add,即可添加标签,添加完对应的字段会用§符号标记起来;要爆破几个字段就添加几个字段。在attack type里指定的是爆破模式,burpsuite里列了4种,分别为:
sniper:这种模式一次只能设定一组payload,例如有 username 和 password两个字段需要爆破,设定的payload字典有n个,那么就会有2n种爆破组合
battering ram:这种模式一次也只能设定一组payload,例如有 username 和 password两个字段需要爆破,设定的payload字典有n个,那么就会有n种爆破组合
pitch fork:这种模式需要设置payload组数跟爆破的字段数一致,例如有 username 和 password两个字段需要爆破,设定的username的payload字典有n个,password的payload字典有m个,如果n<m,那么就会有n种爆破组合,反之有m种组合
cluster bomb:这种模式需要设置payload组数跟爆破的字段数一致,例如有 username 和 password两个字段需要爆破,设定的username的payload字典有n个,password的payload字典有m个,那么就会有 n*m种组合,这种方式使用比较多
在payload 选项卡中加载上述提到的payload字典,可以选择load导入文件,也可以直接add单个添加,按照前面的爆破方式确定导入几组payload。要爆破字段有多少个,在payload set下拉框下就有多少个选项,对应前面的字段数
在options字段里可对爆破线程进行设置,当然在该选项卡下面的 grep match功能处可以设置回显信息以便于判断是否爆破成功,在这里设置后在执行爆破时会多一个回显判断字段,当然也可以不设置,一般而言根据数据包返回长度也可以做判断,下图我们设置了一个登录失败的回显字段
最后执行爆破,点击一级选项卡 intruder ,点击start attack,开始执行爆破,下图是我们设置了一个登录失败的回显字段,所以在爆破参数中有这一列字段,如果匹配到了就是登录失败的,没匹配到可能就是成功的,点击字段参数可进行排序,下图排序后第一条就是成功爆破的结果;当然按前面说的,此处根据length字段筛选也是可以区分的
burpsuite抓取APP数据包
利用burpsuite抓app数据包原则上跟web一样,需要我们运行app的手机和笔记本位于同一网络,或者直接利用电脑分享一个热点,手机连接电脑的热点,需要注意三点内容
在burpsuite中添加监听IP和端口,如果手机电脑位于同一无线网段,此处选择电脑无线网卡IP即可;如果手机连接的是电脑热点,此处选择电脑分享热点的虚拟网卡即可添加完成结果
手机中设置代理IP及监听端口通过代理访问任意https网站,导出burpsuite证书安装到手机可以直接在手机上访问代理的ip端口(192.168.10.103:8080)下载burpsuite证书安装到手机
完成,即可抓app数据包
当然,利用对于安卓利用模拟器操作也是可以的,还更方便,但对于APP只能运行在手机的就得通过这种方式了。
如果通过burpsuite抓https包时出现错误:SSL handshake alert: unrecognized_name error
一般是由于Java版本问题,解决办法:java -Djsse.enableSNIExtension=false yourClass
以上只是介绍burpsuite基础常用功能,burpsuite还有其它更多实用功能,包括可以扩展自定义插件,可以自行查询相关教程,后续内容将开始对常见漏洞进行讲解,结合实例环境从代码层面进行分析利用