Web渗透_扫描工具Burpsuite

Burpsuite

• Web安全工具中的瑞士军刀

• 统一的集成工具发现全部现代WEB安全漏洞

• PortSwigger公司开发

• Burp Free

• Burp Professional

• http://www.portswigger.net

• 所有的工具共享一个能处理并显示HTTP消息的可扩展框架，模块之间无缝交换信息

安装

• 首先卸载原有的社区版本

apt-get remove brupsuite

• 之后去官网下载包‘

• 之后去下载注册机

https://github.com/h3110w0r1d-y/BurpLoaderKeygen/releases

• 将文件递归拷贝到bin目录中

# sudo cp -r BurpLoaderKeygen.jar burpsuite_pro_v2022.3.9.jar /usr/bin

• 运行注册机

java -jar BurpLoaderKeygen.jar

• 之后设置快捷启动

cd /usr/binsudo vim burpsuite    #!/bin/sh    java -javaagent:/usr/bin/BurpLoaderKeygen.jar -noverify -jar 		       /usr/bin/burpsuite_pro_v2022.3.9.jar

• 赋予可执行权限

sudo chmod +x burpsuite

• 创建快捷方式

# cd /usr/share/applications# sudo vim kali-burpsuite.desktop

[Desktop Entry]Name=burpsuiteEncoding=UTF-8Exec=sh -c "/usr/bin/burpsuite"Icon=kali-burpsuiteStartupNotify=falseTerminal=falseType=ApplicationCategories=03-webapp-analysis;03-06-web-application-proxies;X-kali-Package=burpsuiteStartupWMClass=burp-StartBurp

然后在命令行输入brupsuite即可！’

启用代理功能

• 首先点击Proxy

• 点下这个就是开启截断

• 默认侦听8080端口，且只侦听环回接口

• 浏览器安装证书

• 如果你浏览器配置了8080的代理，然后的burp开启了截断，你访问的时候必须通过才能正常访问

• 当你浏览器设置了代理，点击target，会显示所有请求的内容

但是浏览器会访问很多，我们想看的却没有；可以使用scope过滤

然后我们只把我们想看的留下来了

BP的功能十分强大，自己慢慢去学习领悟吧！