Burpsuite 安装及简单使用
概述
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
WIN下安装
获取
官网获取:https://portswigger.net/burp
java环境安装
因为burpsuite是在JAVA环境下运行的,所以首先应该配置好JAVA环境
java安装详见我的另一篇文章《在windows下安装 Elasticsearch》
安装Burpsuite
下载完成exe包直接点击安装就行,然后双击打开会出现如下界面,
这些配置直接跳过,点击下一步就行
配置 Burp suite 代理 ,打开burp 选择 proxy——->options
默认是8080端口,这个端口比较常用,如果冲突记得修改一下,我的改成8081了。
浏览器进行配置
这里以谷歌浏览器为例 ,其他浏览器类似,可自行百度。设置——->高级 ——->打开您计算机的代理设置,如下图
点击打开如下如设置
设置完代理,设置burp suite
抓HTTPS数据包
如果出现如下情况,解决办法就是安装burp的受信任证书。
安装SSL受信任证书,打开浏览器访问 http://burp ,点击CA Certificate 下载证书进行安装
在使用Burp site对HTTPS进行拦截时他会提示,你的连接不是私密连接或此连接不信任等,这是由于通常情况下burp默认只抓HTTP的包,HTTPS因为含有证书,因而无法正常抓取,抓HTTPS数据包就需要设置可信证书。
下载完成的文件名是:cacert.der,后缀名是.der文件(证书的编码方式不一样),这个文件不是常规的.cer的证书文件,下面就是让浏览器信任我们刚才导出的证书。
打开浏览器设置(我这里是谷歌)
隐私设置和安全性->证书管理->中间证书颁发机构
选择下载的文件下一步下一步导入就可以。
导出证书
导入刚才的cacert.der文件,那么在服务器中就会存在“PortSwigger CA”这样的证书(burp的内置证书)、然后选中它进行导出
这里选择base64
自己建一个xxx.cer文件,然后选择它并替换就行
导入cer证书
切换到受信任的证书颁发机构,进行导入刚才的cer文件
效果
导入之后开启代理,不会出现警告了,
开启burp suite 抓包
ok!
问题
burp suite 中文乱码问题
按照如下步骤设置: