Burpsuite 安装好使用
- 功能使用、密码破解、waf抓包
Dashboard(仪表盘)
新扫描→网站
image.png
image.png
Target(目标):对扫描完成的项目进行查看:
image.png
Proxy(代理):在选项中设置好IP和端口,并在浏览器中设置相对应的代理,既可以进行抓包。
- 若要抓取https,需在选项中导出“DER 格式的证书”,然后保存到C盘,打开浏览器设置→高级→ 隐私设置和安全性→管理证书中,除了“未受信任的发布者”外,依个导入,即可。
image.png
image.png
image.png
image.png
image.png
导入证书之后就可以显示https
image.png
image.png
Intruder(测试器):用于暴力破解账号密码。
目标:IP地址及端口;位置:Sniper只能爆破一个变量,一般为账号或密码;Battering ram能爆破两个变量,一般为账和或密码;有效载荷:可以设置Burp自带密码字典或用本地自己的字典,有效负载处理可以设置密码的处理方式,base64或头尾加符号;
image.png
把密码选项增加变量放入测试器
image.png
加入密码库 暴力破解
image.png
两个变量密码爆破
image.png
网友评论