Burpsuite

burpsuite issue definitions

https://portswigger.net/burp/documentation/scanner/vulnerabilities-list先从高危的开始学(四十能学剑,时人无此心):oscommandinjectiontodo未完待续
叶常落·2023-12-02 11:19

网络安全|Burp插件梳理总结 (附工具合集源文档使用)

前言很多师傅在搞渗透测试时,离不开burpsuite,有一些好的插件如虎添翼,我把常用的burp插件整理分享出来,若各位师傅有好用的插件欢迎留言交流!
网络安全陈火乐·2023-11-28 23:50

BUUCTF [BJDCTF2020] The mystery of ip

X-Forwarded-For注入PHP可能存在Twig模版注入漏洞启动环境:查看flag页面:查看hint页面:结合题目名,IP的秘密,flag页面也出现了IP,猜测为X-Forwarded-For处有问题使用BurpSuite
Senimo_·2023-11-28 15:02

sql注入21-27关

type=3可以推出,我们需要在burpsuite上将编码后的内容输入')andupdatexml(1,concat(0x7e,database(),0x7e),1)#')unionselect1,2,
空白行·2023-11-27 20:45

Pikachu靶场—sql注入通关

由于从url看不到什么变化,我们用burpsuite抓包看一下
kukuromi·2023-11-27 20:44

burpsuite安全练兵场-服务端4】操作系统命令注入-5个实验(全)

前言:介绍:博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长:对于技术、工具、漏洞原理、黑产打击的研究。C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期
黑色地带(崛起)·2023-11-27 16:46

VULFOCUS-tomcat-pass-getshell 弱口令

文章目录tomact漏洞发现Tomcat默认页面抓取登录包Burpsuite爆破将抓到的包发送到爆破模块。
渗透测试小白·2023-11-27 11:25

Tomcat 管理后台 Getshell

Tomcat弱口令Getshell1、环境搭建2、暴力破解使用burpsuite进行暴力破解3、上传木马War包可以放在Tomcat下的webapps或word目录,当Tomcat服务器启动时,War包即会随之解压源代码来进行自动部署
BeretSEC·2023-11-27 11:24

burp抓取雷电模拟器的数据包

文章目录一、从burp中导出证书二、雷电模拟器的相关设置三、将burp的证书添加到模拟器的系统证书下四、安装ProxyDroid所需软件雷电模拟器版本:4.0.83BurpSuiteCommunityEditionv2023.10.3.6ProxyDroid
PT_silver·2023-11-25 23:13

2018-12-18

image这是我的burpsuite2.0,现在我们去安装jre环境imageimage老方法就不赘诉了,配置一下字体image然后配置一下burpsuite的访问日志image执行命令:sqlmap.py-lsqlmap.txt
唐小风7·2023-11-25 22:31

模拟器 +burp+adb 抓包

0x01、写在最前面APP和小程序的渗透、合规等测试中,可能需要抓包分析,并常常由于sslspinning证书锁定机制导致一些包是抓不到的;为此分享一下使用Burpsuite对模拟器内APP进行抓包,并绕过一般的
The last of the ghost·2023-11-25 16:34

【M1使用burpsuite抓取微信小程序的包(半成品)】

burpsuite抓取微信小程序的包(MAC篇)前言:首先,基于抓取小程序包的原理,最最最根本的地方,我觉得是证书。
@Mrs.z·2023-11-25 16:04

夜神模拟器Android7与Burpsuite配置抓包http/https均信任证书

菜鸡第一次写文章目录(1)进入正题,bp证书下载(下载证书至Win10):(2)云服务器安装宝塔(方便上传证书至云服务器):(3)上传刚下载的证书cacert.der至root目录下:(4)云服务器命令行执行:(5)切换回宝塔面板,下载保存该文件:(6)下载Adb,执行Adb命令:成功:参考:首先得把夜神模拟器安装配置好(设置-修改网络-代理ip为Win10的ip,端口8080),bp也得安装配置
Gpppppa·2023-11-25 16:31

关于文件上传漏洞的心得

1.最简单就是前端防护,后端不防护,即js检测绕过攻击,此时可以利用浏览器插件删除前端js检测代码或者可以通过burpsuite抓包进行后缀修改即可2.文件后缀绕过攻击,服务器端限制某些后缀文件不能上传
DQ_5e1b·2023-11-25 15:06

渗透武器库--burpSuite实战(最强web安全工具,没有之一)

点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介BurpSuite是用于攻击web应用程序的集成平台,包含了许多工具。
TaibaiXX1·2023-11-25 07:34

远端WWW服务支持TRACE请求(渗透测试复现及修改)

关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1配置Java环境变量1.2安装BurpSuite1.3使用Burpsuite测试测试流程:三、关闭TRACE请求一、TRACE漏洞信息漏洞描述目标
i田望望·2023-11-24 11:13

web漏洞-远端WWW服务支持TRACE请求

验证方法如果目标存在服务端支持TRACE请求,验证方法如下1.通过抓包软件burpsuite,重发数据将请求方法修改为TRA
lzylbp·2023-11-24 11:11

2019-04-21 shell靶场实验

实验原理1.使用BurpSuite密码爆破BurpSuite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查
Sterren·2023-11-24 00:45

渗透测试知识点--选择题

RDP的端口号为()A.3389B.23C.22D.443BurpSuite是用于攻击()的集成平台。A.web应用程序B.客户机C.服务器D.浏览器使用nmap进行ping扫描时使用的参数()A.
LeBronmvp23·2023-11-23 18:24

CTF-web 常用软件安装及环境搭建

前言工欲善其事,必先利其器搭建web学习环境:Typora、phpStudy、python、SublimeText、AntSword、JDK1.8、BurpSuite此次安装是在虚拟机下的Windows10x64
_潜心_·2023-11-23 18:53

渗透工具---BurpSuite 插件开发之HelloWorld

本文主要记录如何利用burp官方的新版API即MontoyaApi写helloworld(上一篇的demo使用旧版api写的,这篇及后续开发将采用新版api)先看效果图更多详细内容见下方这里有更详细更全面的代码内容以及配置相关的内容https://mp.weixin.qq.com/s?__biz=MzU1MDgxNjgyMg==&mid=2247484230&idx=1&sn=4053d83ed9
cestlavieqiang·2023-11-22 16:16

Windows 安装 汉化版 burp suite

burpsuite软件下载链接:https://www.alipan.com/s/cWxMF5S9sq4提取码:31ut注:安装路径不要有中文安装配置Java环境因为burpsuite是在JAVA环境下运行的
ZS_zsx·2023-11-21 22:49

CTFHub-Web-Web前置技能 WriteUp

二、302跳转  1.题目内容  2.解题思路  点击该链接,使用burpsuite抓包  3.解题过程  抓到包后repea
曾小健_0532·2023-11-21 09:36

企业环境渗透 - part1

任务一、后台文件上传任务描述本实验任务基于真实企业网络环境,在三台服务器搭建的典型企业局域网环境中,主要完成以下内容:使用wwwscan扫描网站后台目录,利用Burpsuite工具爆破网站后台用户名密码
Hellespontus·2023-11-21 00:43

第三章 如何使用Burp Suite代理

BurpProxy是BurpSuite以用户驱动测试流程功能的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。
weixin_30469895·2023-11-20 04:22

安全测试===burpsuit指南

网址:https://www.gitbook.com/book/t0data/burpsuite/details引子刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了BurpSuite
软件测试技术·2023-11-20 04:48

Windows安装多个JDK不冲突的方法

配置说明很多时候都需要两个JDK环境,有些工具框架较为老旧,打开使用需要低版本JAVA(如冰蝎),而有些工具更新频率高,且需要高版本JAVA(如新版BurpSuite)最需要注意的步骤:假如你现在有JDK8
-飞飞鱼·2023-11-19 15:28

burpsuite如何安装插件

burpsuite如何安装插件以安装hackbar插件为例。
Star abuse·2023-11-19 05:13

解决burpsuite中文乱码的问题

解决burpsuite中文乱码的问题Useroptions–Display–HTTPMessageDisplay–Changefont…选择⼀个中⽂的字体格式,调整显⽰字体⼤小这里我们修改为微软雅黑,当然你也可以选择宋体
Star abuse·2023-11-19 05:42

SQL注入学习--GTFHub(布尔盲注+时间盲注+MySQL结构)

目录布尔盲注手工注入笔记Boolean注入#使用脚本注入sqlmap注入使用Burpsuite进行半自动注入时间盲注手工注入使用脚本注入sqlmap注入使用Burpsuite进行半自动注入MySQL结构手工注入
正在努力中的小白♤·2023-11-17 10:43

[文件读取]lanproxy 文件读取 (CVE-2021-3019)

1.2漏洞等级高危1.3影响版本Lanproxy1.4漏洞复现1.4.1.基础环境靶场VULFOCUS工具BurpSuite1.4.
wj33333·2023-11-16 21:54

【路径穿越】vulfocus/apache-cve_2021_41773

漏洞类型路径穿越漏洞等级高危漏洞环境vulfocus攻击方式1.2漏洞等级高危1.3影响版本ApacheHTTPServer2.4.49、2.4.501.4漏洞复现1.4.1.基础环境靶场VULFOCUS工具BurpSuite1.4.2
wj33333·2023-11-16 21:54

【文件读取/包含】任意文件读取漏洞 afr_1

1.1漏洞描述漏洞名称任意文件读取漏洞afr_1漏洞类型文件读取漏洞等级⭐漏洞环境docker攻击方式1.2漏洞等级高危1.3影响版本暂无1.4漏洞复现1.4.1.基础环境靶场docker工具BurpSuite1.4.2
wj33333·2023-11-16 21:49

burpsuite安全练兵场-服务端5】业务逻辑漏洞-11个实验(全)

前言:介绍:博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长:对于技术、工具、漏洞原理、黑产打击的研究。C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期
黑色地带(崛起)·2023-11-16 20:29

(.htaccess文件特性)[MRCTF2020]你传你呢 1

题目环境:不难看出是一道文件上传漏洞上传一句话木马文件burpsuite进行抓包命名为PHP文件格式Repeater进行重放尝试了其它后缀进行绕过都没有成功通过application/x-php内容类型
白猫a٩·2023-11-15 14:48

内网隧道搭建( 内网穿透)

一台攻击者主机:(3)一台受害者者主机:2、通过文件上传,在跳板机上安装ew_for_win.exe(1)在跳板机上:执行命令:ew_for_Win.exe-sssocksd-l1080(2)在攻击主机上:用burpsuite
YUkawa539·2023-11-15 07:04

业务逻辑漏洞--注册-登录-改密码页面总结

以下按照顺序测试:注册页面注册页面批量注册注册覆盖(重复注册他人账号)短信邮件炸弹手机验证码是否可爆破(老生常谈,Burpsuite抓包爆破四位验证码)图片验证码是否可绕过(验证码缺失、验证码失效数据包重放
透明的胡萝卜_robots·2023-11-15 03:01

[文件读取]rails 任意文件读取 (CVE-2019-5418)

CVE-2019-5418漏洞类型文件读取漏洞等级⭐⭐⭐漏洞环境VULFOCUS攻击方式1.2漏洞等级高危1.3影响版本Accept5.2.21.4漏洞复现1.4.1.基础环境靶场VULFOCUS工具Burpsuite1.4.2
wj33333·2023-11-14 20:15

Adobe_ColdFusion文件读取漏洞 CVE-2010-2861 漏洞复现

AdobeColdFusion文件读取漏洞(CVE-2010-2861)byADummy0x00利用路线Burpsuite抓包改包—>直接读取文件—>有回显0x01漏洞介绍AdobeColdFusion
ADummy_·2023-11-14 20:14

攻防世界 baby——web writeup

Step2:输入index.php,发现自动跳转到了1.php.Step3:用burpsuite进行抓包。Step4:将抓包得到的发送到repeater,
22的卡卡·2023-11-14 08:24

IP-guard远程命令执行漏洞

这里写自定义目录标题使用工具:BurpSuite(需配置好https抓包)教程漏洞复现打开BurpSuite内置浏览器对数据包进行拦截在登录处随便输入账号密码,点击登录验证一下,访问文件免责声明使用工具
夏花001·2023-11-14 06:59

【安全小小事】BurpSuite神器引

吾诚引一神器,名为BurpSuite者。此器卓越非凡,望之则快意心知。昔日,渗透测试PenetrationTest,比浩劫更艰难,如同幽灵之城,无迹可循。是时,天地鸿蒙,宇宙洪荒,竟氤氲而不知所往。
叶常落·2023-11-13 21:26

CTFhub-RCE-php://input

我们需要使用php://input来构造发送的指令查看phpinfo,找到一下字段证明是可以使用php://input1.使用Burpsuite抓包并转至Repeater2.构造包方法:POST目标:/
携柺星年·2023-11-13 21:21

CSRF 漏洞验证

CSRF漏洞验证环境准备:dvwacsrf为例burpsuite工具dvwa靶场(CSRF)方法一:1.修改密码抓包这里是为了理解先抓包查看修改密码时的数据GET/dvwa_2.0.1/vulnerabilities
wj33333·2023-11-13 21:49

burpsuite安装详细教程

要安装BurpSuite,可以按照以下步骤操作:首先从官方网站https://portswigger.net/burp/communitydownload下载BurpSuite安装文件,选择适合自己操作系统的版本
悦目春风·2023-11-13 12:01

Django_debug_page_XSS漏洞 CVE-2017-12794 漏洞复现

DjangodebugpageXSS漏洞(CVE-2017-12794)byADummy0x00利用路线Burpsuite抓包改包—>用户创建成功—>成功登录0x01漏洞介绍Django默认配置下,如果匹配上的
ADummy_·2023-11-13 04:35

xss漏洞

XSS介绍实操DOM型XSS介绍实操反射-POST反射-GETxss平台和工具xss的防护代码过滤httponlyWAF拦截xss的绕过代码过滤httponlyWAF拦截自动化工具说明(XSStrike)Burpsuite
月生ψ·2023-11-11 13:16

记一次通过逻辑漏洞组合进入某公司股份管理后台的案例

*用到的工具:1、burpsuite;2、fiddle*#一、打开公司官网#二、进入XX管理系统##漏洞一:信息泄露1、通过前端接口拼接发现信息泄露,包括姓名和手机号等信息##漏洞二:密码重置1、在忘记密码处根据上述信息泄露收集的手机号
zkzq·2023-11-11 03:36

使用 Socks5 来劫持 HTTPS(TCP-TLS) 之旅

实际在MITM使用过程中,BurpSuite和Yakit提供的交互式劫持工具只能劫持HTTP代理的TLS流量;但是这样是不够的,有时候我们并不能确保HTTP代理一定生效,或者说特定的后端只支持TCP传输层代理
zkzq·2023-11-11 03:04

渗透测试工具Burp Suite详解

BurpSuite的安装BurpSuite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。
Wαff1ε·2023-11-10 15:57
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他