BurpSuite的简单使用
BurpSuite的简单使用
burpsuite代理设置
burpsuite默认设置了代理 127.0.0.1:8080如果端口冲突可以修改成其他的。注: 浏览器中配置代理时,端口必须 burpsuite配置中的一样。
IE浏览器代理设置
这里使用 InternetExplorer11为例,其他版本IE浏览器设置类似。
打开IE浏览器,在右上角 工具中选择 Internet选项,或者在菜单栏选择工具 Internet选项
选择 连接-->点击 局域网设置,勾上 为LAN使用代理服务器前打勾,ip输入 127.0.0.1,端口输入 8080
chrome浏览器代理设置
这里使用的是 google chrome版本71.0.3578.98(64位版本),其他的设置也类似 对于chrome有很多优秀的插件很方便切换代理 FalconProxy, ProxySwitchyOmega等。
先讲讲不用插件设置的方法。
可以在浏览器url输入框内输入: chrome://settings/,点击 高级,点击 系统下面的打开代理设置,弹窗出来和IE设置方法一样。其他版本的 chrome浏览器设置代理的按钮位置略有区别。
推荐可以使用的是 FalconProxy,配置简单操作方便。
Firefox浏览器代理设置
这里的 Firefox最新版本是 64.0.2(32位),右上角打开 选项——> 网络设置——> 设置—— 手动配置代理——>设置 HTTP代理。
Firefox也有很多代理插件,大家可以推荐分享。
简单举几个例子
很多web题都会使用 burpsuite抓包修改数据包,爆破,上传文件等,这里主要简单介绍一些常见的功能。更多高端的骚操作欢迎大佬们在评论区留言。
X-Forwarded-For
X-Forwarded-For:简称 XFF头,它代表客户端,也就是HTTP的 请求端真实的IP,只有在通过了 HTTP代理或者 负载均衡服务器时才会添加该项。
标准格式如下: X-Forwarded-For:client1,proxy1,proxy2。
这类题目通常是修改添加 ip地址,题目都会提示有 访问ip限制条件。 这里拿hackinglab的一个入门题演示。
打开 burpsuite来抓个包
根据题目提示判断访问者的身份,最直接就是判断访问的ip所在ip段,所以这里添加一个 XXF头伪造一个国外ip,百度随便查一个国外ip写上去,比如 X-Forwarded-For:169.235.24.133。
这样还要注意有一个 Accept-Language:zh-CN,zh;q=0.9,可以改成 Accept-Language:en-US,en;q=0.9或者直接删掉不写也是可以的,然后 鼠标右键或者点击 Action,点击 Sendto repeater, repeater选项卡会变红色,点 go,在 response里可以看到key
修改User-Agent
这个在比赛中也经常出现,在实际中也很有用,比如限制只能手机浏览器或客户端访问的一些网页,都可以尝试通过改 user-agent的方法绕过,利用PC浏览器进行访问调试。 题目描述:
抓包修改 User-Agent:HAHA, send to repeater, go一下拿到key
查看包的响应头
ctf也经常会把flag藏着 ResponseHeaders响应头中,在浏览器中 F12, network里,可以查看,但是 burpsuite会更方便。
,可以先试试打开查看网页源代码无果,抓包试试查看 ResponseHeaders响应头。
任意账号密码重置逻辑漏洞
这种算是一个非法获取验证码逻辑漏洞,和前两年很火的微商平台 一分钱买iPhone的操作和原理是一样的。类似的还有修改ID,用户名以及cookie等达到一些非法目的。这种逻辑漏洞的原因是后台没有对数据包进行账号关联性效验。
打开网页,填写系统给的自己 电话号码、 新密码、 图片验证码,获取到 验证码以后,开启 burpsuite抓包功能,点击 重置密码按钮,修改数据包中 mobile为 对方的手机号码,如果存在逻辑漏洞,发送出去就成功修改了。
刷票、爆破功能
burpsuite还有一个很强大的功能就是 intruder选项卡的爆破功能。
这个功能也可以用来对存在漏洞的投票系统进行刷票。 这里拿一个微信投票系统的题目进行演示
通过百度可以知道微信数据包请求头的 User-Agent:(Mozilla/5.0(iPhone;CPU iPhone OS9_3_2likeMacOS X)AppleWebKit/601.1.46(KHTML,likeGecko)Mobile/13F69MicroMessenger/6.6.1NetType/2GLanguage/zh_CN。 开启 burpsuite,这里我们 a2019这个用户票数刷到第一吧。点击 投票按钮,把数据包中的 User-Agent:改掉,由于这里我们是匿名投票,那么他是怎么记录的呢?肯定是通过ip记录的吧,我们在数据包中加入 XXF头,前面也说了什么是 XXF头。随便输入一个ip值。
然后右键 send to intruder,在 positions中点击 clear清除所以默认的爆破参数,然后选择ip最后一位,点击 add。
在 payload页面中选择 payload type为 number,下面设置起始值和步长,点击右上角 start attack按钮
等待爆破结束。可以看到刷票成功。
注: 如果是爆破密码,根据需求选择字典或者自己导入字典。
GET和POST数据包类型转换
使用 burpsuite可以很方便的转换请求包的 GET或者 POST类型。 鼠标右键点击 change request method即可转换请求包类型。
其他
burpsuite还有很多其他牛逼的功能,比如:漏洞扫描检测,爬虫等,还可以通过添加编写插件实现各种功能例如:可以使用插件结合 SQLmap进行自动化 sql注入渗透测试、结合 phantom检测XSS、结合 android killer对安卓APP进行渗透测试等,在实际安全测试环境中应用广泛。更多技巧欢迎小伙伴们进群下载资料讨论交流