BurpSuite介绍:
BurpSuite是由PortSwigger开发的一款集成化的Web应用安全检测工具,广泛应用于Web应用的漏洞扫描和攻击模拟,主要用于抓包该包(消息拦截与构造)
一、Burp suite安装
windows系统需要提前配置好java环境,前面博客有写可参考
-
BurpSuite官网:https://portswigger.net/burp
下载专业版需要一个有效的企业电子邮箱,所以我使用的是百度网盘的专业版本
-
burp百度盘:burpsuite_pro_v1.7.30.zip
提取码: 89zn
Tips:burp2021版本或者更高版本需要配置jdk1.8之上的,我安装的是jdk1.8版本,和百度盘匹配的,如果不匹配安装会报错 -
解压burpsuite_pro_v1.7.30.zip,如下
-
双击打开burp-loader-keygen.jar,这里有个坑(如果打不开就在当前目录cmd执行)
java -jar BurpLoaderKeygen.jar
-
把左边的Liense复制到右边的框内,点击Next
-
弹出如下,在弹出的小窗点击Manual activation
-
将红框里面的代码复制到另一边
-
然后在将左边弹出来的内容复制到右边,点击NEXT即可完成
-
提示如下:您的许可证已成功安装和激活,点击Finish(完成)
-
提示:您的临时目录包含以下文件夹,是否删除(删除&保留),选择delte或Leave都行
-
选择项目地址,Temporary project(默认C盘),New project on disk(自己创建一个项目地址),open existing project(使用现有的项目地址)
这里我选择自己创建的目录,选择Next,也可以选择第一个Temporary project默认即可
-
选择start Burp
-
打开burp成功
-
代理设置,下面burp默认监听8080端口
-
以火狐浏览器为例,设置代理(设置-网络设置)
设置好后,我们利用浏览器浏览一个网站,发现已经被我们的Burp截取数据包了,我们可以在Burp上面进行增删改查等功能(例如,我访问一个百度)
-
抓取https设置,安装证书配置(下载并安装浏览器CA证书,如下)
导入证书
- 在FireFox浏览器上选择菜单项“设置”->“隐私与安全”->“证书”,点击“查看证书”按钮,在
- 弹出的“证书管理器”对话框中选择“证书颁发机构”标签页,点击“导入”按钮,将刚刚下载cacert.der
- 导入,导入时注意勾选“信任由此证书颁发机构来标识网站”
安装证书后如下
再次请求抓取,可以抓取HTTPS的请求了
二、后续重新启动burpsuite
方法1
- 执行cmd命令在burp目录下,把这个jar包通过java在后台打开,如下
java -jar burp-loader-keygen.jar
- 会自动弹出burp界面,点击run即可
- 还会让你选择默认、新建、使用之前的项目,这里选哪个都行(如果麻烦就选择之前的),选择Next即可使用了
方法2
在桌面创建一个bat文件,内容如下(下面cd后面需要更改你们自己的burp安装路径),后面启动直接双击或右键打开即可
d:
cd D:\BaiduNetdiskDownload\burp
java -jar burp-loader-keygen.jar
