Burp Suite http app抓包(改request responce )

1、概述

Burp Suite 是一个牛逼的工具,好多人用来扫漏洞。我主要是用下其中的抓包功能。拦截发送请求分析接口,拦截接收请求伪造数据。

2、破解版下载路径 1.7.11

http://download.csdn.net/detail/lckj686/9764008
目录里有两个jar 文件。打开其中的:BurpLoader.jar 文件就可以破解启动。

3、简单使用

3.1、app抓包环境配置

  1. pc 和 手机连接在同一个局域网。

  2. Burp Suite 配置:
    Burp Suite http app抓包(改request responce )_第1张图片

    ip 地址为电脑ip,下拉选择填入即可
    端口号,随意设置。8080 可以。

  3. 手机配置:
    手机就普通的连接代理配置:wifi -> 代理 -> 手动 -> 填写主机名(上图ip),端口号(上图端口号)

3.2、看抓包数据

  1. 先把拦截关了,看有没有调通
    Burp Suite http app抓包(改request responce )_第2张图片

  2. 看抓到的数据包。如果如下图就说明 环境配置成功了。
    Burp Suite http app抓包(改request responce )_第3张图片

  3. 前2步要是成功了,就可以简单的看http的发送与响应了。

4、request 拦截

intercept is on 按钮开启。
Burp Suite http app抓包(改request responce )_第4张图片

其中编辑框内的内容都可以改,
按钮说明:
forwoard:向后执行完成篡改请求。
drop: 字面意思是放弃该请求。 (还不是很明白)。
action: 按钮里点开有很多操作,包括response的拦截。

5、response 拦截

  1. intercept is on 按钮开启。拦截到 request 请求然后点击 action
    Burp Suite http app抓包(改request responce )_第5张图片

  2. 继续点击forword
    Burp Suite http app抓包(改request responce )_第6张图片 /br
    Burp Suite http app抓包(改request responce )_第7张图片

  3. 然后修改responce框内的内容。点击forword 就完成了 responce的拦截,数据伪造。(注意看 一个是 Request to, 一个是 Responce from)

6、其他设置

6.1、 http 中文乱码可以在: User option -> Display 里配置下中文字体

Burp Suite http app抓包(改request responce )_第8张图片

6.2、但是http里的中文 unicode 编码 无法转成中文查看还是比较麻烦。几种插件方式都没解决这个问题。

6.3、action里有很多实用的方法如:send to repeater 会复制这个请求到 repeater 选项卡 然后可以进行一些操作

7、其他补充

  • 自己的 app 里。在做 http 拦截时不怎么好实用 因为把http的超时时间设置成10秒,太短了。 还没修改掉就超时了。超时会直接访问接口 无法拦截。 处理方式是把app的超时时间适当的拉长 比如在伪造数据时设置成120秒。
  • 关于http 超时有3个时间。分别为: connectTime,readTime, writeTime。只设置conenctTime是无效的。一起设置可以

你可能感兴趣的:(工具抓包篇)