Burpsuite简介
Burp Suite 是一款专业的Web和移动应用程序渗透测试工具,是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Burpsuite的安装与配置
一、安装准备工作
1.官网提供三款:企业版、专业版(推荐)、社区版
2.专业版官网下载Burpsuite
地址:https://portswigger.net/burp/pro
这个软件从头到位都比较拽,下载必须用企业邮箱注册,没有办法完美破解,卸载只需要1秒钟。企业版和专业版一个价格$399,但是专业版功能最全,社区版就是闹着玩的,企业版功能模块较为特殊,没有代表性,不做演示(主要是对于个人来讲不划算)。因为BurpSuit是基于Java语言的,所以电脑上必须安装jdk,并且是1.8及以上的,推荐jdk1.9。
PS:本人支持正版,建议购买正版!!!已经购买的请从Burpsuite的模块介绍开始阅读,其他情况的同志请接着往下看。软件有风险,尽量在虚拟机上安装。
二、正式安装
1.点击exe文件安装,正常下一步即可;
2.下载破解jar包
3.右击burp-loader-keygen.jar选择以Java(TM) Platfprm SE binary方式打开,在下图处随便输入,无所谓输入啥;
4.点击run即可运行Burp Suite Pro
5.如果点击run没成功的,可以尝试升级JDK版本,不想的话可以win+R打开运行,输入cmd打开dos命令窗口;
6.进入burp-loader-keygen.jar所在的目录然后执行下面这个命令:
java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar
7.等着启动Burp Suite,如果有警告,不用搭理,继续即可;
8.进入这个页面后,将第5步Keygen中License复制粘贴到这里,然后点击next;
9.点击Manual activation,
10.到这个页面后,点击Copy request,找到破解程序复制上去;
11.点击Copy request,复制到Activation Request里面,将自动生成的Response内容复制出来
12.出现这样就说明成功了;但是你下次登陆还得通过dos黑窗口打开它;打开试试吧。
13.创建个临时项目看看
14.进入首页看到抬头8个功能模块了吧!这是Burp Suit的核心。
Burpsuite配置
一、代理配置
1.浏览器端设置:打开火狐浏览器,点击选项-搜索"代理",按照下图这个进行配置,我的端口8080是跑程序的,所以我把端口改成了8090,建议不要改就是默认的,因为Burp Suit就是默认的80;
PS:360等什么浏览器的都行,重要的是不要用自带的代理;以下是我用的火狐自带的,我一会要把代理设置复原才能正常上网,建议安装插件,这样就不用来回转换了;
2.Burp Suite设置,建议你们不要改Port,我这里被我改了8090,你们使用默认即可;将HTTPS选项勾上;
二、证书下载
1.其实目前这样就已经可以拦截HTTP协议的网站了,但是不少网站的协议都是HTTPS,SSL是HTTPS的安全基础,Burp Suite提供了这一块的安全证书,我们只要下载安装下就行了。
地址:https://burp/
没出来的朋友不妨试试F12看看这个页面源代码;
2.证书下载好了,老规矩在选项中搜索"证书",将证书导入证书颁发机构即可;
剩余部分请至公众号内阅读