渗透测试工具Burpsuite操作教程

Burpsuite简介

Burp Suite 是一款专业的Web和移动应用程序渗透测试工具，是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

Burpsuite的安装与配置

一、安装准备工作

1.官网提供三款：企业版、专业版（推荐）、社区版

 

 

2.专业版官网下载Burpsuite

地址：https://portswigger.net/burp/pro

这个软件从头到位都比较拽，下载必须用企业邮箱注册，没有办法完美破解，卸载只需要1秒钟。企业版和专业版一个价格$399，但是专业版功能最全，社区版就是闹着玩的，企业版功能模块较为特殊，没有代表性，不做演示（主要是对于个人来讲不划算）。因为BurpSuit是基于Java语言的，所以电脑上必须安装jdk，并且是1.8及以上的，推荐jdk1.9。

 

 

 

 

PS：本人支持正版，建议购买正版！！！已经购买的请从Burpsuite的模块介绍开始阅读，其他情况的同志请接着往下看。软件有风险，尽量在虚拟机上安装。

二、正式安装

1.点击exe文件安装，正常下一步即可；

2.下载破解jar包

 

 

3.右击burp-loader-keygen.jar选择以Java(TM) Platfprm SE binary方式打开，在下图处随便输入，无所谓输入啥；

 

 

4.点击run即可运行Burp Suite Pro

5.如果点击run没成功的，可以尝试升级JDK版本，不想的话可以win+R打开运行，输入cmd打开dos命令窗口；

 

 

6.进入burp-loader-keygen.jar所在的目录然后执行下面这个命令：

java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar

 

 

 

7.等着启动Burp Suite，如果有警告，不用搭理，继续即可；

 

 

8.进入这个页面后，将第5步Keygen中License复制粘贴到这里，然后点击next；

 

 

 

 

9.点击Manual activation,

 

 

10.到这个页面后，点击Copy request，找到破解程序复制上去；

 

 

11.点击Copy request,复制到Activation Request里面，将自动生成的Response内容复制出来

 

 

 

 

12.出现这样就说明成功了；但是你下次登陆还得通过dos黑窗口打开它；打开试试吧。

 

 

 

 

13.创建个临时项目看看

 

 

 

 

14.进入首页看到抬头8个功能模块了吧！这是Burp Suit的核心。

 

 

Burpsuite配置

一、代理配置

1.浏览器端设置：打开火狐浏览器，点击选项-搜索"代理"，按照下图这个进行配置，我的端口8080是跑程序的，所以我把端口改成了8090，建议不要改就是默认的，因为Burp Suit就是默认的80；

PS：360等什么浏览器的都行，重要的是不要用自带的代理；以下是我用的火狐自带的，我一会要把代理设置复原才能正常上网，建议安装插件，这样就不用来回转换了；

 

 

2.Burp Suite设置，建议你们不要改Port，我这里被我改了8090，你们使用默认即可；将HTTPS选项勾上；

 

 

 

 

二、证书下载

1.其实目前这样就已经可以拦截HTTP协议的网站了，但是不少网站的协议都是HTTPS，SSL是HTTPS的安全基础，Burp Suite提供了这一块的安全证书，我们只要下载安装下就行了。

地址：https://burp/

 

 

没出来的朋友不妨试试F12看看这个页面源代码；

 

 

2.证书下载好了，老规矩在选项中搜索"证书"，将证书导入证书颁发机构即可；

 

 

剩余部分请至公众号内阅读