BurpSuite安装与浏览器导入证书

目录

前言

模块介绍

Burp安装

burp配置与jdk环境安装

首次激活

浏览器配置

设置代理端口

导入Burp证书

Chrome浏览器导入证书

Firefox导入证书


前言

Burp Suite是一个用于测试网络应用程序安全性的图形化工具,如进行HTTP网站流量抓取、数据重放、表单爆破等。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版(只有基本功能)、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外,该工具还包含更高级的选项,如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

模块介绍

常用模块介绍如下

  • HTTP代理:它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。

  • Scanner:一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描。

  • Intruder:对web应用程序进行自动化攻击

  • Repeater:一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求,重新发送它们并观察结果。

  • Decoder:编码解码工具

Burp安装

burp配置与jdk环境安装

burp的使用需要jdk环境,新版的burp需jdk版本大于11

  • JDK 13

  • burp 2022.9.1

burp配置

下载安装包后新增burp.bat文件,用于启动burp

BurpSuite安装与浏览器导入证书_第1张图片
java -javaagent:ja-netfilter.jar --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -jar burpsuite_pro_v2022.9.1.jar

Java环境安装

  1. 安装jdk13

下载地址:Java Archive Downloads - Java SE 13

首次激活

将burp中的所有文件复制到burp中的jdk目录中

BurpSuite安装与浏览器导入证书_第2张图片

双击burp.bat启动burp和ddosi.org.vbs,启动burp和license加载器

如下

BurpSuite安装与浏览器导入证书_第3张图片

复制过去点击next

BurpSuite安装与浏览器导入证书_第4张图片

点击Manual actication

BurpSuite安装与浏览器导入证书_第5张图片

如下操作

BurpSuite安装与浏览器导入证书_第6张图片

点击next

BurpSuite安装与浏览器导入证书_第7张图片

出现Success说明成功,最后点击Finish进入到burp

BurpSuite安装与浏览器导入证书_第8张图片

根据页面提示,点击next —> Start Burp

BurpSuite安装与浏览器导入证书_第9张图片

调整burp字体

然后把字体改成14或者12,这样能解决光标一放到http请求体中,字体见间距就变大的问题(高清屏下的问题)

BurpSuite安装与浏览器导入证书_第10张图片

浏览器配置

设置代理端口

可以通过浏览器自带的代理进行代理设置,或者是通过代理插件来设置代理

浏览器中点击设置—网络设置

BurpSuite安装与浏览器导入证书_第11张图片

设置代理服务器和端口,与burp中的监听端口相对应

BurpSuite安装与浏览器导入证书_第12张图片

导入Burp证书

当我们挂了burp代理但是没有导入证书的话,我们抓取https网站流量的包会显示不安全,如下这样

BurpSuite安装与浏览器导入证书_第13张图片

Chrome浏览器导入证书

1. 下载证书

挂上bp代理,地址栏输入 127.0.0.1:8080,将证书下载下来保存为.cer结尾的文件

BurpSuite安装与浏览器导入证书_第14张图片

2. 导入证书

地址栏输入

chrome://settings/security

选择管理证书

BurpSuite安装与浏览器导入证书_第15张图片

选择受信任的根证书颁发机构,将保存的证书导入就行,然后关闭浏览器重新访问百度,发现可以正常访问了

BurpSuite安装与浏览器导入证书_第16张图片

安装代理插件

Chrome默认使用的是系统全局代理,这样很不方便抓包。我们只想chrome浏览器的流量转到burp,所以使用代理插件

1. SwitchyOmega_Chromium

下载地址 ->chrome代理

2. 导入插件

选择如下

BurpSuite安装与浏览器导入证书_第17张图片

将开发者模式打开如下

3. 将下载的代理文件解压,然后将整个文件夹托进行,然后配置一下就可以了

配置好后如下

BurpSuite安装与浏览器导入证书_第18张图片

Firefox导入证书

1. 下载证书

地址栏输入 http:burp,下载证书,保存为.cert

BurpSuite安装与浏览器导入证书_第19张图片

2. 导入证书

地址栏输入

about:preferences#searchResults

搜索证书

BurpSuite安装与浏览器导入证书_第20张图片

点击导入

BurpSuite安装与浏览器导入证书_第21张图片

勾选信任

BurpSuite安装与浏览器导入证书_第22张图片

导入之后,关闭浏览器,重新打开就可以了。

如果有时候火狐浏览器访问https的网站显示对等端的证书有一个无效的签名而访问失败,则是证书坏了,重新按照上面的步骤导入证书就行, 然后重启浏览器。

安装代理插件

也推荐使用“SwitchyOmega”

访问:

https://addons.mozilla.org/zh-CN/firefox/search/?q=SwitchyOmega

进行安装即可

BurpSuite安装与浏览器导入证书_第23张图片

你可能感兴趣的:(渗透工具,网络安全)