本周一在 安恒萌新粉丝群:分享了 burpsuite pro v2.0beta破解版和 《burpsuite实战指南》,今天就简单介绍一下 burpsuite在CTF中的简单实用,只限 burpsuite的使用技巧,更多骚操作和高级使用方法欢迎各位大佬在评论区留言分享。
目录
抓包代理配置
burpsuite代理设置
burpsuite默认设置了代理 127.0.0.1:8080如果端口冲突可以修改成其他的。注: 浏览器中配置代理时,端口必须 burpsuite配置中的一样。
IE浏览器代理设置
这里使用 InternetExplorer11为例,其他版本IE浏览器设置类似。打开IE浏览器,在右上角 工具中选择 Internet选项,或者在菜单栏选择工具 Internet选项选择 连接-->点击 局域网设置,勾上 为LAN使用代理服务器前打勾,ip输入 127.0.0.1,端口输入 8080
chrome浏览器代理设置
这里使用的是 google chrome版本71.0.3578.98(64位版本),其他的设置也类似 对于chrome有很多优秀的插件很方便切换代理 FalconProxy, ProxySwitchyOmega等。先讲讲不用插件设置的方法。可以在浏览器url输入框内输入: chrome://settings/,点击 高级,点击 系统下面的打开代理设置,弹窗出来和IE设置方法一样。其他版本的 chrome浏览器设置代理的按钮位置略有区别。推荐可以使用的是 FalconProxy,配置简单操作方便。
Firefox浏览器代理设置
这里的 Firefox最新版本是 64.0.2(32位),右上角打开 选项——> 网络设置——> 设置—— 手动配置代理——>设置 HTTP代理。Firefox也有很多代理插件,大家可以推荐分享。
简单举几个例子
很多web题都会使用 burpsuite抓包修改数据包,爆破,上传文件等,这里主要简单介绍一些常见的功能。更多高端的骚操作欢迎大佬们在评论区留言。
X-Forwarded-For
X-Forwarded-For:简称 XFF头,它代表客户端,也就是HTTP的 请求端真实的IP,只有在通过了 HTTP代理或者 负载均衡服务器时才会添加该项。标准格式如下: X-Forwarded-For:client1,proxy1,proxy2。这类题目通常是修改添加 ip地址,题目都会提示有 访问ip限制条件。 这里拿hackinglab的一个入门题演示。打开 burpsuite来抓个包根据题目提示判断访问者的身份,最直接就是判断访问的ip所在ip段,所以这里添加一个 XXF头伪造一个国外ip,百度随便查一个国外ip写上去,比如 X-Forwarded-For:169.235.24.133。这样还要注意有一个 Accept-Language:zh-CN,zh;q=0.9,可以改成 Accept-Language:en-US,en;q=0.9或者直接删掉不写也是可以的,然后 鼠标右键或者点击 Action,点击 Sendto repeater, repeater选项卡会变红色,点 go,在 response里可以看到key
修改User-Agent
这个在比赛中也经常出现,在实际中也很有用,比如限制只能手机浏览器或客户端访问的一些网页,都可以尝试通过改 user-agent的方法绕过,利用PC浏览器进行访问调试。 题目描述: 抓包修改 User-Agent:HAHA, send to repeater, go一下拿到key
查看包的响应头
ctf也经常会把flag藏着 ResponseHeaders响应头中,在浏览器中 F12, network里,可以查看,但是 burpsuite会更方便。 ,可以先试试打开查看网页源代码无果,抓包试试查看 ResponseHeaders响应头。
任意账号密码重置逻辑漏洞
这种算是一个非法获取验证码逻辑漏洞,和前两年很火的微商平台 一分钱买iPhone的操作和原理是一样的。类似的还有修改ID,用户名以及cookie等达到一些非法目的。这种逻辑漏洞的原因是后台没有对数据包进行账号关联性效验。 打开网页,填写系统给的自己 电话号码、 新密码、 图片验证码,获取到 验证码以后,开启 burpsuite抓包功能,点击 重置密码按钮,修改数据包中 mobile为 对方的手机号码,如果存在逻辑漏洞,发送出去就成功修改了。
刷票、爆破功能
burpsuite还有一个很强大的功能就是 intruder选项卡的爆破功能。这个功能也可以用来对存在漏洞的投票系统进行刷票。 这里拿一个投票系统的题目进行演示通过百度可以知道数据包请求头的 User-Agent:(Mozilla/5.0(iPhone;CPU iPhone OS9_3_2likeMacOS X)AppleWebKit/601.1.46(KHTML,likeGecko)Mobile/13F69MicroMessenger/6.6.1NetType/2GLanguage/zh_CN。 开启 burpsuite,这里我们 a2019这个用户票数刷到第一吧。点击 投票按钮,把数据包中的 User-Agent:改掉,由于这里我们是匿名投票,那么他是怎么记录的呢?肯定是通过ip记录的吧,我们在数据包中加入 XXF头,前面也说了什么是 XXF头。随便输入一个ip值。然后右键 send to intruder,在 positions中点击 clear清除所以默认的爆破参数,然后选择ip最后一位,点击 add。在 payload页面中选择 payload type为 number,下面设置起始值和步长,点击右上角 start attack按钮等待爆破结束。可以看到刷票成功。 注: 如果是爆破密码,根据需求选择字典或者自己导入字典。
GET和POST数据包类型转换
使用 burpsuite可以很方便的转换请求包的 GET或者 POST类型。 鼠标右键点击 change request method即可转换请求包类型。
其他
burpsuite还有很多其他牛逼的功能,比如:漏洞扫描检测,爬虫等,还可以通过添加编写插件实现各种功能例如:可以使用插件结合 SQLmap进行自动化 sql注入渗透测试、结合 phantom检测XSS、结合 android killer对安卓APP进行渗透测试等,在实际安全测试环境中应用广泛。更多技巧欢迎小伙伴们进群下载资料讨论交流 安恒萌新粉丝群:。