- A+
打造强大的BurpSuite-小乐天
还在为没有一款强大的工具而烦恼吗,看着那些人下个几G的工具包,我立马有种淡淡的忧伤,听说大牛都是只有那么几款工具而已,我等小白也要跟上大神的脚步呀,不然就落伍了,我也想着怎样让自己的工具更加精简版呢,然后就有了下文
Burp Notes文本编辑器
下载地址
介绍
JSBeautifier也就是园长MM说的那款代码美化的
下载及介绍
Sqlmap相当于图形界面下的Sqlmap
下载
MobileMiTM适用于抓手机上抓包
下载
Googlehack
下载
Nmap
下载
插件安装方法
插件安装大致就分为两类,一种是jar格式的,另外一种就是py版的,下面分别介绍下这两种怎么安装吧
jar格式的,以MobileMiTM为例
第一种方法:
Linux and OSX
java -Djava.net.preferIPv4Stack=true -Djava.library.path=. -classpath .:suite.jar:MiTMExtender.jar burp.StartBurp
Windows
java -Djava.library.path=. -classpath .;MiTMExtender.jar;suite.jar burp.StartBurp
第二种方法如图:
![[zone]BurpSuite 相关](/uploads/allimg/c161102/14N060505cP-52938.jpg "1")
出现如下所示则表示安装成功:
![[zone]BurpSuite 相关](/uploads/allimg/c161102/14N06050360J0-223J.jpg "3"){kind=small}
py格式的,这个就比较麻烦一点了,以nmap为例,需要python,和jython支持
Python支持
官网下载地址:
http://www.python.org/download/
我的是2.7.5版本,听说搞开发都是2.7.3版本,我觉得我的都高了,你们看着办吧。
下载Jython支持
官网下载地址:
http://search.maven.org/remotecontent?filepath=org/python/jython-installer/2.7-b1/jython-installer-2.7-b1.jar
安装好python和jython之后,如图所示
配置一下python环境
![[zone]BurpSuite 相关](/uploads/allimg/c161102/14N06050V5430-615R.jpg "2")
这样就可以运行py格式了
*以上安装测试版本都是在BurpSuite_pro_v1.5.20破解版下,免费版有一些不可以安装
如安装过程遇到任何问题可以在此留言,大伙也可以讨论下一些新功能的使用情况反馈
前几天到面试渗透测试工程师各种碰壁,不活了,实在不行走编程去,坑死我了
妈妈说要学会分享,在次把我收集的一些burp资源共享给大伙了,里面含有30多款插件以及收集的一些视频教程
Burp Suite Professional 使用答疑贴-Finger
Burp Suite是我个人最喜欢的一款web渗透测试工具,很多小伙伴们在使用其做渗透测试的过程中可能或多或少碰到一些使用上问题,可以在此提问,我会抽出时间尽量解答,也欢迎其他大牛帮忙解答小伙伴们的困惑,同样欢迎大家分享你所掌握的一些使用技巧。
对于帮忙解答或分享一些精彩的使用技巧的,我来带头WB感谢,也希望其他阅读后有所收获小伙伴们对分享者们予以感谢(不强制)。
此帖我会随时编辑以丰富内容
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
一、代理问题
Burp Suite 不能拦截127.0.0.1:80的数据包怎么办?
解决方法1:
本地绑定host
路径:C:\Windows\System32\drivers\etc
host文件
127.0.0.1 test.com
解决方法2:
chrome插件SwitchySharp选项 【详细配置】内【不代理的地址】去掉127.0.0.1
如何利用burpsuite抓到app包
方法1
手机设置代理:
![[zone]BurpSuite 相关](/uploads/allimg/c161102/14N0605114BP-K3Q.jpg "4")
上述只适合拦截http
https拦截方法:
访问https目标网站会给浏览器证书,再在浏览器里面导出所有跟目标站相关的证书(cer后缀),然后将导出cer证书安装到手机上设置好代理(手机代理设置同上)即可通过burp来代理SSL的请求。
二、乱码问题
Burp Suite抓android包乱码 (当然也包括web)
哪位大大有中文不乱码的BurpSuite共享下
burp出现乱码,复制不了,该怎么办
如果是中文乱码的话,解决方法:options->display->font 调成微软雅黑等中文字体就可以
三、intruder
1、爆破字典加前缀或后缀
intruder->payloads->payload processing->add prefix(前缀)或add suffix(后缀)
插件:
1.BurpSuite代码格式化插件:BurpSuiteJSBeautifier– @园长 贡献
2.burpsuite集成sqlmap插件– @小乐天 贡献
小伙伴们尽管分享,保证感谢到位,概不赖账!!
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
