Burp

【漏洞挖掘】——53、 WebSocket安全概览

文章前言在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTPHistory选项卡来查看HTTP历史请求记录信息并做测试的，但是在查看的时候却下意识的点击到了HTTPProxy右侧的

FLy_鹏程万里·2024-09-11 03:20

网站安全检测：推荐 8 款免费的 Web 安全测试工具

目录1.OWASPZAP(ZedAttackProxy)2.BurpSuiteFreeEdition3.Nikto4.w3af5.SQLMap6.Arachni7.XSSer8.SecurityHeaders.io

白帽黑客2659·2024-09-04 16:21

1_Burpsuite的安装

第一步.下载并安装JDK百度jdk下载Java环境downloadjdk第二步.打开网址后下载最新版的jdk第三步，同意条款，直接下载exe或者压缩包第四步，打开安装程序，下一步第五步，安装路径默认就好了，下一步第六步，完成安装然后就等，弹出一个框，把上面的key放过去，产生一个key，再放回来，上面又产生一个key，又放过去就好了https://blog.csdn.net/liuhuaijin/

Enomothem·2024-09-03 18:07

【渗透测试】利用hook技术破解前端JS加解密 - JS-Forward

Hook技术则会帮助我们无需获取加解密密钥的前提下，获取明文进行渗透测试环境准备JS-ForwardBurpsuiteFiddler网上公开的加解密逻辑漏洞的靶场源码某大佬搭建的公网测试环境（请礼貌使用

Hello_Brian·2024-08-30 19:55

Android逆向及渗透测试相关技术总结

本文主要介绍使用一些工具对apk进行逆向获取部分源代码，并通过frida对函数进行Hook并修改其值；使用Burpsuite对app请求进行抓包并进行渗透测试，本文仅供交流学习。

ghost9527·2024-08-26 17:14

墨者学院 - WEB站点访问者身份识别

首先访问：http://ip地址/robots.txt找到bingboot这个User-Agent可以使用打开burp抓包修改user-agent为bingbot即可获取key

这是什么娃哈哈·2024-03-13 19:14

安全测试工具安装指南：在统信UOS上部署Burp Suite

原文链接：安全测试工具安装指南：在统信UOS上部署BurpSuite大家好！

鹏大圣运维·2024-02-20 17:05

文件上传（ctfshow,upload-labs，文件上传字典生成）

（全部重新截图有点麻烦，有的图借用了其他大佬的）ctfshowweb151-web152本题即绕过前端验证，只需上传一个png图片（图片马，普通图片需添加一句话），在burp截断时修改content-type

YnG_t0·2024-02-20 15:48

CTFshow 文件上传 web158

目录思路总结思路直接在burp里面改target和host的值,或者在本地发包成功上传.user.iniauto_prepend_file=shell.png发现上题的可以直接用,直接白嫖了shell.png

Kradress·2024-02-20 15:45

vulvhub-----Hacker-KID靶机

打靶详细教程1.网段探测2.端口服务扫描3.目录扫描4.收集信息burpsuite抓包5.dig命令6.XXE漏洞读取.bashrc文件7.SSTI漏洞8.提权1.查看python是否具备这个能力2.使用

郑居中3.0·2024-02-20 12:51

Burpsuite工具使用

1.简介BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。

想拿 0day 的脚步小子·2024-02-20 11:39

[WUSTCTF2020]CV Maker1 --不会编程的崽

burp启动，先上传个php文件试试。提示太明显了。而且测试它还不检测后缀添加GIF89a上传成功，找到路径即可。去页面复制图像路径，或者数据包里找也行上蚁剑

不会编程的崽·2024-02-20 01:33

hgame2024,week2

/*:显示所有目录下的文件/f*:匹配所有f开头的文件/*:显示所有目录下的文件`tac/f*/f*`即可读出flagSelectMoreCourses1.弱密码burpsuit爆破得到密码qwert1232

yzzob·2024-02-19 19:33

抓包分析 TCP 协议

环境准备对接口测试工具进行分类，可以如下几类：网络嗅探工具：tcpdump，wireshark代理工具：fiddler，charles，anyproxyburpsuite，mitmproxy分析工具：curl

咖啡加剁椒·2024-02-19 12:16

upload-labs文件上传漏洞靶场

第一关发现他这个是通过客户端前端写了一个限制我们禁用srcipt即可蚁剑成功打开第二关我们上传文件2.php它提示我们文件类型不正确我们可以联想到做了后缀检测我们通过burp抓包修改后缀第三关我们上传一个

Ryongao·2024-02-15 05:57

Cookie,Session,JWT

这里的客户端可以是常规的浏览器，也可以是接口测试工具，如Postman，JMeter，Burpsuite等，其中浏览器在得到服务器响应的set-cookie后，会将cookie信息保存到本地的浏览器缓存

m0_70273331·2024-02-14 17:25

晨间日记

3）跑步后拉伸训练：伸腿板，压腿，4)Burpee练习没有完成，2、硬本领构建1)练声：口部操练习，11分钟，普通话字词练习，7分钟

首席成长官小包总·2024-02-13 17:12

渗透测试工具库总结（全网最全）

目录Web渗透综合扫描类1.外网2.内网信息搜集类指纹扫描资产发现子域名收集目录扫描端口扫描Burp插件浏览器插件钓鱼平台漏洞利用类综合漏洞扫描工具中间件/应用/接口漏洞利用工具信息泄露利用工具数据库利用工具社工

Pluto－2003·2024-02-13 17:06

【ctfshow】文件上传web151-170wp

文件上传web151-170web1511.编写一句话木马上传2.修改前端验证3.在蚁剑上找flagweb1521.修改前端验证2.burp抓包后修改MIME3.在蚁剑上找flagweb1531.修改前端验证

Sunlight_614·2024-02-13 09:58

ctfshow学习记录-web入门（文件上传151-160）

burp抓包直接修改url，就可以重复使用，省事。web151提示：前台校验不可靠解答：有个前台的后缀校验，修改上传文件的后缀为png，抓包修改后缀即可。

九枕·2024-02-13 09:57

CTFHub-Web-密码口令 WriteUp

一、弱口令 1.题目内容 2.解题思路使用burpsuite进行字典爆破 3.解题过程首先抓包使用intruder模块进行爆破得到正确的口令，CaptureTheFlag!

曾小健_0532·2024-02-11 18:32

NSB_Login

查看源码，发现提示爆破字典3.下载字典https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt4.burp

有搞头-CC·2024-02-11 07:47

BurpSuite v2024最新版本

补丁包WIndows、Linux、Mac都可以用下载地址https://pan.quark.cn/s/bfcb3fe2ee26

知攻善防实验室·2024-02-10 21:04

python与Burp Suite联动暴力破解

程序直接使用BP抓取的原包进行暴力破解免费领取关键点:argparse库、pandas库、HackRequests库、BurpSuite。

球球呀·2024-02-10 19:37

XCTF-攻防世界CTF平台-Web类——11、upload1（文件上传、前端校验）

目录标题（1）把οnchange="check();去掉（2）禁用浏览器的JS脚本运行（3）BurpSuite抓包修改文件后缀名POST方法一句话木马GET方法一句话木马蚁剑连接打开题目地址：是一个文件上传的题目选择一个一句话脚本上传

大灬白·2024-02-10 06:32

BurpSuite 暴力破解之绕过 token

0x02token机制使得我们的爆破变得困难了许多，但正所谓道高一尺魔高一丈，神器BurpSuit

三分灰·2024-02-10 05:27

代码安全审计经验集（下）

但通常还是有办法分析出加解密的策略，如果能把加解密算法还原，就可以先将安全测试的payload添加到原始明文参数，再加密发送到服务端处理（可以编写对应的burp插件实现半自动化，因为逻辑漏洞还是要人工分析

INSBUG·2024-02-08 22:11

逗比学CTF.day5

BUUBURPCOURSE1比较基础的IP伪造题目，基础题get到新的知识点，通过伪造X-Real-IP字段实现本地访问一、原题无源码打开后，只提示需要本地访问。

名为逗比·2024-02-08 18:43

03-抓包_封包_协议_APP_小程序_PC应用_WEB应用

_小程序_PC应用_WEB应用一、参考工具二、演示案例：2.1、WEB应用站点操作数据抓包-浏览器审查查看元素网络监听2.2、APP&小程序&PC抓包HTTP/S数据-Charles&Fiddler&Burpsuite2.3

月亮今天也很亮·2024-02-08 11:30

如何在Firefox和Chrome上设置burpsuite代理

一、Firefox上设置代理1、搜索插件ProxySwitchyOmega，添加到浏览器https://addons.mozilla.org/zh-CN/firefox/addon/switchyomega/?src=search图片发自App2、代理设置，跳过教程图片发自App3、不建议开启更新和加载异常提醒，设置后记得左下角应用选项（保存）图片发自App4、设置代理服务器为127.0.0.1，

么么1994·2024-02-08 11:37

DVWA-old (老版本)csrf

csrflowmediumlow打开burp抓包，发现是get请求，尝试在burp中修改密码，发下可以直接修改成功根据url地址栏中的信息构造链接，将此链接放在.html为后缀的文件并将此文件放在本地www

玖龍的意志·2024-02-08 11:40

Chronos靶机渗透

Chronos靶机一.信息收集1.靶机IP地址确认2.目录扫描3.常见漏洞扫描5.web网站探测1.网页2.源代码二.网站渗透1.命令执行2.抓包---burpsuite3.反弹shell三.提权1.node.js

郑居中3.0·2024-02-07 22:22

CTF|sqlmap的简单使用

工具BurpSuiteChrome插件ProxySwitchyOmegasqlmap示例：BugKuCTF题成绩单初步测试1BurpSuite开启代理，随意输入一个id，BurpSuite导出为文件image.png

小半_7a2b·2024-02-07 20:46

SQL注入讲解-BeesCMS系统漏洞分析溯源

首先识别一下指纹根据指纹查找历史漏洞(同样适用现在)2.查找目录(目录里面会有很多惊喜)通过御剑后台扫描工具找到文件夹后在网页打开文件夹进行测试通过百度搜索查看历史漏洞查看源代码发现它对账号和密码只有二个加密我们通过burp

Ryongao·2024-02-07 13:35

记一次接口测试分享

常用抓包工具开发者工具F12wiresharkfiddlerburpsuitecharles(选用)tcpdumpmitmproxy接口分析URL请求地址

迈阿密小白·2024-02-06 17:36

【安全漏洞】一次前台任意文件下载漏洞挖掘

U1s1，这个后台功能点少的可怜，文件上传点更是别想不过那个备份管理的界面引起了我的兴趣，似乎有点意思filename参数后面直接跟上了文件名，这很难让人不怀疑存在任意下载漏洞抓包，放到burp中，发现果然存在任意文件下载

H_00c8·2024-02-05 22:33

[SWPUCTF 2021 新生赛]easyupload1.0

发现是上传文件第一想到是文件木马木马上传burp修改后缀发现flag里面这个是假的我们猜想是在phpinfo我们上传木马上传burp修改后缀里面Ctrl+F发现flag

Ryongao·2024-02-05 10:45

web漏洞“小迪安全课堂笔记”CSRF及SSRF

CSRF验证方式——burp防御方案SSRF服务器端请求伪造（Server-SideRequestForgery）漏洞攻击：端口扫描，指纹识别，漏洞利用，内网探针各个协议调用探针：http,file,dict

小不为霸·2024-02-05 06:43

网络安全B模块（笔记详解）- 暴力破解

使用渗透机场景kali中工具扫描服务器场景，将iis的版本号作为Flag提交；2.使用渗透机场景windows7访问服务器场景，并下载某文件夹下的web目录下的username.txt和wxl_pass_burp.txt

何辰风·2024-02-05 05:26

验证码识别工具——Pkav HTTP Fuzzer

01背景知识在很多时候，当对搜集的Web后台地址等进行用户名和密码的暴力破解时，大部分后台都有验证码进行防护，对于一般的Burpsuite工具是无法直接识别验证码的，除非安装了识别验证码的插件，这次来介绍一款经典验证码暴力破解工具

乌鸦安全·2024-02-05 03:05

burp证书配置和火狐代理抓包过程

一、CA证书配置1.把burp的CA证书导入本地。

l2ohvef·2024-02-05 00:35

windows对微信及小程序抓包:Burp+Fiddler+Proxifier

话不多说，直接先上个效果图：新新的版本哈；好好的抓包哈；然后直接说我如何配置的：准备好三个工具：bp、fiddler、proxifier【也可以用其他的进行代理】bp、proxifier正式课件有，fiddler直接去官网下载即可第一步：证书！证书！证书！抓包前必须要把证书搞好，要不然中间折腾的你受不了1、Fiddler证书安装：options设置打开；这样照着勾起来：连接的监听端口设置一个未占用

zkzq·2024-02-04 22:04

vulhub中spring的CVE-2017-4971漏洞复现

具体过程将登录框左侧的密码随便输入一个，登录看到这个页面后，更改url，改为/hotels/1，可以看到这个页面点击BookHotel，在出现的页面随便输入，点击proceed点击confirm，并且用burpsuite

余生有个小酒馆·2024-02-04 07:11

[SWPUCTF 2021 新生赛]easyupload2.0

一开始我通过cobaltstrike写一个文件上传的木马它不允许上传php文件我这边写了一句话木马通过burp拦截修改后缀为phtml然后通过蚁剑找flag

Ryongao·2024-02-04 01:19

记vulnhub靶场Matrix-Breakout 2 Morpheus渗透

准备事项：本次打靶涉及的基本工具：kali虚拟机及其自带工具，铸剑，burpsuit，蚁剑、linpeas.sh靶机地址点击就送matrix-breakout-2-morpheus.ova下载下来是一个

易俫雫·2024-02-04 00:12

极客大挑战2023 Web方向题解wp 全

我真该死啊QAQEzHttp前言：这次极客平台太安全了谷歌不给抓包，抓包用burp自带浏览器。

Jay 17·2024-02-03 13:04

burpsuit抓包

2.bp抓包的三种形式1.以Firefox浏览器为例首先建立并连接相同的端口，打开burpsuit建立新的端口，要一个没有开放的，也就是不被占用的端口，我们用8081示例改完后别忘记选择打开Firefox

m0_73721944·2024-02-03 02:45

漏洞学习--SQL注入篇

漏洞学习--SQL注入篇前言前期准备Burp简单使用sql注入概念PikachuSQL注入练习数字型注入字符型注入搜索型注入insert/update注入delete注入httpheader注入盲注（baseonboolian

觉醒白哥·2024-02-02 21:27

Pikachu靶场：XSS盲打

Pikachu靶场：XSS盲打实验环境以及工具Firefox浏览器、BurpSuite、Pikachu靶场实验原理●xss盲打也是属于存储型XSS类型盲打的意思是无法直接在前端看到反馈效果。

witwitwiter·2024-02-02 11:41

推荐频道