这里为大家带来了Burp Suite使用教程,包括了Burp Suite抓包教程以及Burp Suite使用说明教程,让你知道软件在抓包的过程中需要安装哪些外部需要的环境和设置配置参数规格,甚至清晰的了解爆破密码详细操作步骤,能够帮助你快速操作使用软件。
Burp Suite使用教程
一、Burp Suite抓包教程
首先要安装java JDK,然后安装burp suite软件,打开工具包中的Burpsuite文件夹,该文件夹里有两个jar包,双击打开BurpLoader.jar
打开后点击I Accept,next后点击Start Burp
然后需要,配置Burp 代理
依次点击Proxy —> Options —> add —> Binding —>设置端口和IP —> OK
IP设置为本机回环IP(127.0.0.1),端口设置为8080
然后打开Burp已经有默认的代理127.0.0.1:8080,勾选即可用。
配置浏览器的代理,这里以firefox为例,其它浏览器类似。
打开firefox —> 打开菜单 —> 选项
然后高级—— > 设置
选择 手动配置代理 —> 设置代理IP 127.0.0.1 —> 端口8080 —> 选中 为所有协议使用相同代理 —> 确定
以上设置完成后,就可以进行抓包爆破了。
首先进行抓包,Proxy —> Intercept —Intercept is off/on
这里:Intercept is off代表不抓包,Intercept is on抓包。
设置Intercept is on时,点击需要抓取包的页面,就可以抓取请求包
以下以抓取weblogic登录时的请求包为例讲解。
输入用户名和密码 —> 设置Intercept is on —> 点击登录 —> 抓包成功
二、burpsuite爆破密码
如果抓取登录的请求包后并且用户名和密码都是明文的话,便可进行爆破。
接下来,爆破操作步骤如下:
Action —> Sent to Intruder
Intruder —> Positions
单击Clear ,然后分别 选中admin —> Add
选中123456 —> Add
选择爆破模式:Cluster bomb
在弹出的对话框中,添加用户名字典和密码字典,然后点击 Payloads
当然你也可以写好一个txt文件,导入即可。
执行爆破:点击Start attack
结果查看,通过Length来判断爆破是否成功。
那么可以根据这个长度判断出,爆破出的用户名是admin密码是axis2。
爆破成功的用户名和密码返回长度与失败的返回长度差异很大。
Burp Suite使用说明
1、首先需要安装一个java环境。
2、然后需要下载好一个burpsuite的软件,如果是jar包就用java -jar 打开就可以了。
3、如果要使用代理的话,可以使用fillder导流或者进行设置代理。
4、我们先点击这里就可以对访问的流量进行一个拦截。
5、使用浏览器对网址进行访问。
6、点击这里就可以让拦截的包发送出去。