Burp 第7页

【burpsuite安全练兵场-服务端4】操作系统命令注入-5个实验（全）

前言：介绍：博主：网络安全领域狂热爱好者（承诺在CSDN永久无偿分享文章）。殊荣：CSDN网络安全领域优质创作者，2022年双十一业务安全保卫战-某厂第一名，某厂特邀数字业务安全研究员，edusrc高白帽，vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长：对于技术、工具、漏洞原理、黑产打击的研究。C站缘：C站的前辈，引领我度过了一个又一个技术的瓶颈期、迷茫期

黑色地带(崛起)·2023-11-27 16:46

VULFOCUS-tomcat-pass-getshell 弱口令

文章目录tomact漏洞发现Tomcat默认页面抓取登录包Burpsuite爆破将抓到的包发送到爆破模块。

渗透测试小白·2023-11-27 11:25

Tomcat 管理后台 Getshell

Tomcat弱口令Getshell1、环境搭建2、暴力破解使用burpsuite进行暴力破解3、上传木马War包可以放在Tomcat下的webapps或word目录,当Tomcat服务器启动时，War包即会随之解压源代码来进行自动部署

BeretSEC·2023-11-27 11:24

某金融app的加解密hook+rpc+绕过SSLPinning抓包

首发于土司论坛：https://www.t00ls.com/thread-68689-1-1.html0x01抓包1.1burp抓包测试(抓不到)1.2httpcanaryHttpCanary可以抓到包

Adminxe·2023-11-26 19:54

2、Burp使用

文章目录一、为Firefox浏览器安装数字证书二、利用Intruder模块进行暴力破解一、为Firefox浏览器安装数字证书（1）利用Firefox浏览器访问http://burp或127.0.0.1

PT_silver·2023-11-26 10:56

10、信息打点——APP&小程序篇&抓包封包&XP框架&反编译&资产提取

APP信息搜集思路外在——抓包封包——资产安全测试抓包（Fiddle&茶杯&burp）封包（封包监听工具），提取资源信息资产收集——资源提取——ICO、MAD、hash——FOFA等网络测绘进行资产搜集外在

PT_silver·2023-11-25 23:13

burp抓取雷电模拟器的数据包

文章目录一、从burp中导出证书二、雷电模拟器的相关设置三、将burp的证书添加到模拟器的系统证书下四、安装ProxyDroid所需软件雷电模拟器版本：4.0.83BurpSuiteCommunityEditionv2023.10.3.6ProxyDroid

PT_silver·2023-11-25 23:13

Yakit工具篇：WebFuzzer模块之序列操作

像这种如果使用burp来操作这种需要好几个步骤这种场景，往往很难实现。在Yakit里面实现起来相对来说就比较容易了。接下来我们一起来看看在文件上传的

黄乔国PHP|JAVA|安全·2023-11-25 23:07

Yakit工具篇：中间人攻击(平替Burp)的相关技巧-03

黄乔国PHP|JAVA|安全·2023-11-25 23:36

2018-12-18

image这是我的burpsuite2.0,现在我们去安装jre环境imageimage老方法就不赘诉了，配置一下字体image然后配置一下burpsuite的访问日志image执行命令：sqlmap.py-lsqlmap.txt

唐小风7·2023-11-25 22:31

模拟器 +burp+adb 抓包

0x01、写在最前面APP和小程序的渗透、合规等测试中，可能需要抓包分析，并常常由于sslspinning证书锁定机制导致一些包是抓不到的；为此分享一下使用Burpsuite对模拟器内APP进行抓包，并绕过一般的

The last of the ghost·2023-11-25 16:34

夜神模拟器+burp抓包微信小程序

www.yeshen.com/在夜神模拟器中安装微信并登录模拟器配置长按wiredSSID配置代理，与主机一致例如本机IP为192.168.100.15，模拟器配置的代理为192.168.100.15端口为8080burp

海蓝时跃鲸·2023-11-25 16:34

夜神模拟器安装BP证书到非系统下

1、下载Burp证书cer格式装换为pem格式转换格式使用openssl，可在linux下执行：opensslx509-informder-indemo.cer-outdemo.pem2、获取hash结果里证书的名称

竹诗雨·2023-11-25 16:34

【M1使用burpsuite抓取微信小程序的包（半成品）】

burpsuite抓取微信小程序的包（MAC篇）前言：首先，基于抓取小程序包的原理，最最最根本的地方，我觉得是证书。

@Mrs.z·2023-11-25 16:04

夜神模拟器安装证书之burp抓包

安装步骤1.http不需要安装证书即可抓app包2.https需要安装证书一、设置burp代理注意IP是本机下的ip二、模拟器设置代理点击wifi长按鼠标修改网络三、导出CA证书模拟器中进入http:/

Liseth·2023-11-25 16:02

小程序抓包方法一览

一、通过Proxifier、BURP进行抓包，流量模型：用户——小程序（本地电脑）——Proxifier（转发）——BURP（一）首先配置BURP，这一步比较简单，我这里配置监听在所有IP的8081端口上

逆向协议开发·2023-11-25 16:31

夜神模拟器Android7与Burpsuite配置抓包http/https均信任证书

菜鸡第一次写文章目录（1）进入正题,bp证书下载（下载证书至Win10）：（2）云服务器安装宝塔（方便上传证书至云服务器）：（3）上传刚下载的证书cacert.der至root目录下：（4）云服务器命令行执行：（5）切换回宝塔面板，下载保存该文件：（6）下载Adb，执行Adb命令：成功：参考：首先得把夜神模拟器安装配置好（设置-修改网络-代理ip为Win10的ip，端口8080），bp也得安装配置

Gpppppa·2023-11-25 16:31

使用模拟器抓WX小程序包

这个已经有很多大神发布了，我记录一下第一步：转换der文件首先使用burp导出der证书cacaert.der打开kali运行opensslx509-informDER-incacert.der-outPortSwiggerCA.pemopensslx509

我重来不说话·2023-11-25 16:31

夜神模拟器burp抓包证书配置

搞了一下午的burp模拟器抓包，好不容易装好了证书，但抓包的时候一直弹证书不安全。

Whiterca·2023-11-25 16:30

夜神模拟器之burp抓包

引言如果你要抓取某APP的数据包按照其他文章那样直接导出burp.rec并安装是没法抓取app数据包的什么是SSLPinning？这里引用一下大佬的解释(11条消息)App抓包提示网络异常怎么破？

Solar Day·2023-11-25 16:30

夜神模拟器 burp抓包 ADB 微信小程序

夜神模拟器burp抓包ADB微信小程序初始环境准备应用连接证书转换设置夜神模拟器环境ADB配置测试burp抓包初始环境准备既然想了解如何抓包，我想大多数是已经安装好夜神模拟器和Burp了，这里就不在赘述

jinxya·2023-11-25 16:29

关于文件上传漏洞的心得

1.最简单就是前端防护，后端不防护，即js检测绕过攻击，此时可以利用浏览器插件删除前端js检测代码或者可以通过burpsuite抓包进行后缀修改即可2.文件后缀绕过攻击，服务器端限制某些后缀文件不能上传

DQ_5e1b·2023-11-25 15:06

渗透武器库--burpSuite实战（最强web安全工具，没有之一）

点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介BurpSuite是用于攻击web应用程序的集成平台，包含了许多工具。

TaibaiXX1·2023-11-25 07:34

CTFhub技能树 web前置技能 http协议

账号密码输入两个admin之后抓将下面那串base64解码得发现是自己输入进去的密码,由admin转换为base格式回去观察题目发现还给了个附件解压发现是一个密码字典用burp抓包后选取base字段的部分进行爆破要爆破出来的密码是以

FFFFFFMVPhat·2023-11-24 16:17

远端WWW服务支持TRACE请求(渗透测试复现及修改)

关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1配置Java环境变量1.2安装BurpSuite1.3使用Burpsuite测试测试流程:三、关闭TRACE请求一、TRACE漏洞信息漏洞描述目标

i田望望·2023-11-24 11:13

web漏洞-远端WWW服务支持TRACE请求

验证方法如果目标存在服务端支持TRACE请求，验证方法如下1.通过抓包软件burpsuite，重发数据将请求方法修改为TRA

lzylbp·2023-11-24 11:11

Web安全2.2：Web工作流程、HTTP协议（GET、POST请求）

：1、URL：2、HTTP协议：3、HTTP请求：4、HTTP的响应（状态码）：5、HTTP的请求（GET）：6、抓包HTTP的响应：7、HTTP的请求（POST）：8、GET、POST对比：9、使用Burp

Slash · Young·2023-11-24 07:05

火狐挂代理访问问题Software is preventing Firefox from safely connecting to this site

1、报错SoftwareispreventingFirefoxfromsafelyconnectingtothissite2、解决步骤火狐浏览器访问http://burp，右上角有下载按钮下载下来证书文件在

samRsa·2023-11-24 04:19

2019-04-21 shell靶场实验

实验原理1.使用BurpSuite密码爆破BurpSuite是Web应用程序测试的最佳工具之一，其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查

Sterren·2023-11-24 00:45

渗透测试知识点--选择题

RDP的端口号为（）A.3389B.23C.22D.443BurpSuite是用于攻击（）的集成平台。A.web应用程序B.客户机C.服务器D.浏览器使用nmap进行ping扫描时使用的参数（）A.

LeBronmvp23·2023-11-23 18:24

CTF-web 常用软件安装及环境搭建

前言工欲善其事，必先利其器搭建web学习环境：Typora、phpStudy、python、SublimeText、AntSword、JDK1.8、BurpSuite此次安装是在虚拟机下的Windows10x64

_潜心_·2023-11-23 18:53

【安全测试学习】自动化注入攻击之 FuzzDB和Burp 组合拳

一、FuzzDB开源的应用程序模糊测试数据库，包含了各种攻击payload的测试用例集合。主要功能：OS命令注入目录遍历文件上传绕过身份验证绕过XSSSQL注入HTTP头注入CRLF注入NoSQL注入等还包含了一些用不同语言写成的webshell与常用的账号密码字典。github地址：GitHub-fuzzdb-project/fuzzdb:Dictionaryofattackpatternsan

aovenus·2023-11-23 13:28

渗透工具---BurpSuite 插件开发之HelloWorld

本文主要记录如何利用burp官方的新版API即MontoyaApi写helloworld（上一篇的demo使用旧版api写的，这篇及后续开发将采用新版api）先看效果图更多详细内容见下方这里有更详细更全面的代码内容以及配置相关的内容

cestlavieqiang·2023-11-22 16:16

App测试基础内容

渗透测试原理app渗透和web渗透区别不大网站找不到后台最传统：放在网站目录里放在同IP的不同端口里面放在不同的子域名（赌博网站最多）放在毫无关系的地方二、安装安卓模拟器+抓包（雷电模拟器）添加代理添加burp

不习惯有你·2023-11-22 09:33

Windows 安装汉化版 burp suite

burpsuite软件下载链接：https://www.alipan.com/s/cWxMF5S9sq4提取码:31ut注：安装路径不要有中文安装配置Java环境因为burpsuite是在JAVA环境下运行的

ZS_zsx·2023-11-21 22:49

webshell免杀之传参方式

Cookie由于Cookie基本上是每个web应用都需要使用到的，php应用在默认情况下，在Cookies请求头中会存在一个PHPSESSID=xxxx这样的cookie，其实这个就可以成为我们的传参位置使用burp

星了个星·2023-11-21 20:22

CTFHub-Web-Web前置技能 WriteUp

二、302跳转 1.题目内容 2.解题思路点击该链接，使用burpsuite抓包 3.解题过程抓到包后repea

曾小健_0532·2023-11-21 09:36

b站课堂模式密码破解经历

为了约束自己玩手机，我设置了课堂模式然后成功的忘掉了密码，本来以为四数密码破解很容易，然鹅…悲剧了b站只有手机版有课堂模式，pc版没有，于是用雷电模拟器登入b站，尝试用fiddle和burpsuit抓包

孳竹·2023-11-21 06:10

企业环境渗透 - part1

任务一、后台文件上传任务描述本实验任务基于真实企业网络环境，在三台服务器搭建的典型企业局域网环境中，主要完成以下内容：使用wwwscan扫描网站后台目录，利用Burpsuite工具爆破网站后台用户名密码

Hellespontus·2023-11-21 00:43

第三章如何使用Burp Suite代理

BurpProxy是BurpSuite以用户驱动测试流程功能的核心，通过代理模式，可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。

weixin_30469895·2023-11-20 04:22

安全测试===burpsuit指南

网址：https://www.gitbook.com/book/t0data/burpsuite/details引子刚接触web安全的时候，非常想找到一款集成型的渗透测试工具，找来找去，最终选择了BurpSuite

软件测试技术·2023-11-20 04:48

小迪安全笔记（3）——基础入门3、基础入门4

应用&web应用二、30余种加密编码进制&web&数据库&系统&代理一、抓包&封包&协议&APP&小程序&PC应用&web应用APP&小程序&PC抓包HTTP/S数据——Charles、Fiddler、Burpsuit

PT_silver·2023-11-20 01:39

CTFhub-RCE-综合过滤练习

%0a、%0d、%0D%0Aburp抓包修改请求为POST/?

携柺星年·2023-11-19 19:50

网络安全实验室第二周学习内容

VMware安装，Kali的配置以及Burp的安装及配置VMware安装1.软件以及镜像的下载软件在官网直接下载安装，密钥在网上搜索即可镜像在https://mirrors.tuna.tsinghua.edu.cn

为什么名字不能重复呢？·2023-11-19 15:05

Windows安装多个JDK不冲突的方法

配置说明很多时候都需要两个JDK环境，有些工具框架较为老旧，打开使用需要低版本JAVA(如冰蝎)，而有些工具更新频率高，且需要高版本JAVA(如新版BurpSuite)最需要注意的步骤：假如你现在有JDK8

-飞飞鱼·2023-11-19 15:28

黑帽python第二版（Black Hat Python 2nd Edition）读书笔记之第六章扩展Burp代理（1）配置&Burp模糊测试

黑帽python第二版（BlackHatPython2ndEdition）读书笔记之第六章扩展Burp代理（1）配置&Burp模糊测试文章目录黑帽python第二版（BlackHatPython2ndEdition

攻城狮老李·2023-11-19 15:25

burpsuite如何安装插件

burpsuite如何安装插件以安装hackbar插件为例。

Star abuse·2023-11-19 05:13

解决burpsuite中文乱码的问题

解决burpsuite中文乱码的问题Useroptions–Display–HTTPMessageDisplay–Changefont…选择⼀个中⽂的字体格式，调整显⽰字体⼤小这里我们修改为微软雅黑，当然你也可以选择宋体

Star abuse·2023-11-19 05:42

SQL注入学习--GTFHub（布尔盲注+时间盲注+MySQL结构）

目录布尔盲注手工注入笔记Boolean注入#使用脚本注入sqlmap注入使用Burpsuite进行半自动注入时间盲注手工注入使用脚本注入sqlmap注入使用Burpsuite进行半自动注入MySQL结构手工注入

正在努力中的小白♤·2023-11-17 10:43

[文件读取]lanproxy 文件读取（CVE-2021-3019）

1.2漏洞等级高危1.3影响版本Lanproxy1.4漏洞复现1.4.1.基础环境靶场VULFOCUS工具BurpSuite1.4.

wj33333·2023-11-16 21:54

推荐频道

Burp