《Web安全攻防 渗透测试实战指南 》 学习笔记 （三）

Web安全攻防 渗透测试实战指南   学习笔记 （三）

• burp suite详解

                                                是一款集成化渗透测试工具（java编写，因此运行时依赖JRE，需要安装Java环境才可以运行）

 

安装JDK过程网上教程很多，可以根据自己需要的版本和操作系统来安装。

若在cmd中输入java -version  回车后返回版本信息则说明已经正确安装。

配置环境变量(参考网上教程)

若在cmd中输入javac  回车后返回帮助信息，则说明正确配置了环境变量。

 

下载好的burp不需要安装，直接双击burploader.jar即可。

 

 

burpsuite是以拦截代理的方式，拦截所有通过代理的网络流量（例如：客户端的请求数据、服务器端的返回信息）。

主要拦截http和https协议的流量

以中间人方式对客户端的请求数据、服务端的返回信息做各种处理。

基本配置以及Burpsuite常用模块例如proxy、spider 、decoder已经在此篇文章解释清楚

https://www.cnblogs.com/0yst3r-2046/p/10998657.html

 

下面讲解burpsuite的其他重要模块~

进阶

 

1>scanner

 

scanner主要用于自动检测web系统的各种漏洞

 

 

 

 

点击后弹出过滤设置，我们保持默认即可

 

我们还可以在Proxy下的HTTP history中，选择某个节点上的链接url并右击选择Do an active scan进行扫描

 

 

 

扫描后，在scanner界面下双击即可看到扫描结果

 

 

 

我们可以在扫描结果中选中需要进行分析的部分，将其发送到repeater模块中进行模拟提交分析验证

 

 

 

当scanner扫描完成后，可以右击burp target 站点地图选项下的链接，依次选择，“issues”-->“report issues”选项 ，导出漏洞报告。

 

 

 

 

 

 

 

 

 

 

2>intruder

              是一个定制的高度可配置的工具，可以对web应用程序进行自动化攻击（可以通过标识符枚举用户名、id和账户号码、模糊测试、sql注入、跨站、目录遍历等）

 

工作原理：在原始请求数据基础上，通过修改各种请求参数获得不同的请求应答。在每一次请求中，intruder通常会携带一个或多个有效攻击载荷（payload），在不同位置进行攻击重放，通过应答数据的比对分析获得需要的特征数据。

 

常用场景：

 

下面演示利用intruder模块爆破无验证码和次数限制的网站的方法

（优秀的字典比较重要，还有一点需要注意的是 burpsuite的文件不要放在中文路径下）

 

 

以下是爆破网站

我们可以先随便输点数字，这里我输入123

 

 

这里是字典

 

首先将数据包发送到intruder模块

 

burp会自动对某些参数进行标记，这里先清除所有的标记

 

 

 

 

 

 

 

 

 

 

 

如果我们爆破的密码强度不是很高的话，我们可以利用burp自己生成的字典

 

 

由实际情况决定我们选择哪一种组合

本题中，我们选中number类型

选择好之后我们开始爆破

 

 

对长度进行排序

 

 

 

经过验证，密码正确，得到flag

 

 

 

 

3>repeater

 

 

 

当我们编辑完请求消息后，单击“Go”按钮即可发送请求给服务端

 

 

 

应答消息区显示的是对 对应的请求消息单击“Go”按钮之后，服务端的反馈消息。

 

 

 

4>comparer

首先进行数据加载

 

 

 

这里我们选了两条

这里comparer模块   进行  差异分析

 

 

 

 

5>sequencer

 

 

 

 

至此，burpsuit主要模块就介绍完了~~~~

参考资料：

《Web安全攻防 渗透测试实战指南》