本頭條號【Kali與編程】所有分享,僅做學習交流,切勿用於任何不法用途!
一、Burp Suite是什麼?
Burp Suite 是用於攻擊web 應用程序的集成平臺。它包含了許多工具,併為這些工具設計了許多接口,以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理並顯示HTTP 消息,持久性,認證,代理,日誌,警報的一個強大的可擴展的框架。它主要用來做安全性滲透測試,可以實現攔截請求、Burp Spider爬蟲、漏洞掃描(付費)等類似Fiddler和Postman但比其更強大的功能。那麼我們今天就從工具的使用上為大家進行教學。
二、Burp Suite工具模塊有哪些?
Proxy——是一個攔截HTTP/S的代理服務器,作為一個在瀏覽器和目標應用程序之間的中間人,允許你攔截,查看,修改在兩個方向上的原始數據流。
Spider——是一個應用智能感應的網絡爬蟲,它能完整的枚舉應用程序的內容和功能。
Scanner[僅限專業版]——是一個高級的工具,執行後,它能自動地發現web 應用程序的安全漏洞。
Intruder——是一個定製的高度可配置的工具,對web應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用fuzzing 技術探測常規漏洞。
Repeater——是一個靠手動操作來補發單獨的HTTP 請求,並分析應用程序響應的工具。
Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
Decoder——是一個進行手動執行或對應用程序數據者智能解碼編碼的工具。
Comparer——是一個實用的工具,通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。
三、Burp Suite的簡單實用?
burpsuite代理設置
burpsuite默認設置了代理 127.0.0.1:8080如果端口衝突可以修改成其他的。注: 瀏覽器中配置代理時,端口必須 burpsuite配置中的一樣。
IE瀏覽器代理設置
這裡使用 InternetExplorer11為例,其他版本IE瀏覽器設置類似。 打開IE瀏覽器,在右上角 工具中選擇 Internet選項,或者在菜單欄選擇工具 Internet選項
選擇 連接-->點擊 局域網設置,勾上 為LAN使用代理服務器前打勾,ip輸入 127.0.0.1,端口輸入 8080
chrome瀏覽器代理設置
這裡使用的是 google chrome版本71.0.3578.98(64位版本),其他的設置也類似 對於chrome有很多優秀的插件很方便切換代理 FalconProxy, ProxySwitchyOmega等。 先講講不用插件設置的方法。 可以在瀏覽器url輸入框內輸入: chrome://settings/,點擊 高級,點擊 系統下面的打開代理設置,彈窗出來和IE設置方法一樣。其他版本的 chrome瀏覽器設置代理的按鈕位置略有區別。
推薦可以使用的是 FalconProxy,配置簡單操作方便。
Firefox瀏覽器代理設置
這裡的 Firefox最新版本是 64.0.2(32位),右上角打開 選項——> 網絡設置——> 設置—— 手動配置代理——>設置 HTTP代理。 Firefox也有很多代理插件,大家可以推薦分享。
簡單舉幾個例子
很多web題都會使用 burpsuite抓包修改數據包,爆破,上傳文件等,這裡主要簡單介紹一些常見的功能。更多高端的騷操作歡迎大佬們在評論區留言。
X-Forwarded-For
X-Forwarded-For:簡稱 XFF頭,它代表客戶端,也就是HTTP的 請求端真實的IP,只有在通過了 HTTP代理或者 負載均衡服務器時才會添加該項。 標準格式如下: X-Forwarded-For:client1,proxy1,proxy2。 這類題目通常是修改添加 ip地址,題目都會提示有 訪問ip限制條件。 這裡拿hackinglab的一個入門題演示。
打開 burpsuite來抓個包
根據題目提示判斷訪問者的身份,最直接就是判斷訪問的ip所在ip段,所以這裡添加一個 XXF頭偽造一個國外ip,百度隨便查一個國外ip寫上去,比如 X-Forwarded-For:169.235.24.133。
這樣還要注意有一個 Accept-Language:zh-CN,zh;q=0.9,可以改成 Accept-Language:en-US,en;q=0.9或者直接刪掉不寫也是可以的,然後 鼠標右鍵或者點擊 Action,點擊 Sendto repeater, repeater選項卡會變紅色,點 go,在 response裡可以看到key
修改User-Agent
這個在比賽中也經常出現,在實際中也很有用,比如限制只能手機瀏覽器或客戶端訪問的一些網頁,都可以嘗試通過改 user-agent的方法繞過,利用PC瀏覽器進行訪問調試。 題目描述:
抓包修改 User-Agent:HAHA, send to repeater, go一下拿到key
查看包的響應頭
ctf也經常會把flag藏著 ResponseHeaders響應頭中,在瀏覽器中 F12, network裡,可以查看,但是 burpsuite會更方便。
,可以先試試打開查看網頁源代碼無果,抓包試試查看 ResponseHeaders響應頭。
任意賬號密碼重置邏輯漏洞
這種算是一個非法獲取驗證碼邏輯漏洞,和前兩年很火的微商平臺 一分錢買iPhone的操作和原理是一樣的。類似的還有修改ID,用戶名以及cookie等達到一些非法目的。這種邏輯漏洞的原因是後臺沒有對數據包進行賬號關聯性效驗。
打開網頁,填寫系統給的自己 電話號碼、 新密碼、 圖片驗證碼,獲取到 驗證碼以後,開啟 burpsuite抓包功能,點擊 重置密碼按鈕,修改數據包中 mobile為 對方的手機號碼,如果存在邏輯漏洞,發送出去就成功修改了。
刷票、爆破功能
burpsuite還有一個很強大的功能就是 intruder選項卡的爆破功能。 這個功能也可以用來對存在漏洞的投票系統進行刷票。 這裡拿一個微信投票系統的題目進行演示
通過百度可以知道微信數據包請求頭的 User-Agent:(Mozilla/5.0(iPhone;CPU iPhone OS9_3_2likeMacOS X)AppleWebKit/601.1.46(KHTML,likeGecko)Mobile/13F69MicroMessenger/6.6.1NetType/2GLanguage/zh_CN。 開啟 burpsuite,這裡我們 a2019這個用戶票數刷到第一吧。點擊 投票按鈕,把數據包中的 User-Agent:改掉,由於這裡我們是匿名投票,那麼他是怎麼記錄的呢?肯定是通過ip記錄的吧,我們在數據包中加入 XXF頭,前面也說了什麼是 XXF頭。隨便輸入一個ip值。
然後右鍵 send to intruder,在 positions中點擊 clear清除所以默認的爆破參數,然後選擇ip最後一位,點擊 add。
在 payload頁面中選擇 payload type為 number,下面設置起始值和步長,點擊右上角 start attack按鈕
等待爆破結束。可以看到刷票成功。
注: 如果是爆破密碼,根據需求選擇字典或者自己導入字典。
GET和POST數據包類型轉換
使用 burpsuite可以很方便的轉換請求包的 GET或者 POST類型。 鼠標右鍵點擊 change request method即可轉換請求包類型。
其他
burpsuite還有很多其他牛逼的功能,比如:漏洞掃描檢測,爬蟲等,還可以通過添加編寫插件實現各種功能例如:可以使用插件結合 SQLmap進行自動化 sql注入滲透測試、結合 phantom檢測XSS、結合 android killer對安卓APP進行滲透測試等,在實際安全測試環境中應用廣泛。
點擊【瞭解更多】學習完整Kali Linux滲透測試視頻課程,現在觀看還可享受【新春500元現金立減】優惠,數量有限,先到先得!
閱讀更多 Kali與編程 的文章
