Burpsuite 安装好使用

• 功能使用、密码破解、waf抓包

Dashboard(仪表盘)

新扫描→网站

image.png
image.png

Target(目标)：对扫描完成的项目进行查看：

image.png

Proxy(代理)：在选项中设置好IP和端口，并在浏览器中设置相对应的代理，既可以进行抓包。

• 若要抓取https，需在选项中导出“DER 格式的证书”，然后保存到C盘，打开浏览器设置→高级→ 隐私设置和安全性→管理证书中，除了“未受信任的发布者”外，依个导入，即可。

image.png
image.png
image.png
image.png
image.png

导入证书之后就可以显示https

image.png
image.png

Intruder(测试器)：用于暴力破解账号密码。

目标：IP地址及端口；位置：Sniper只能爆破一个变量，一般为账号或密码；Battering ram能爆破两个变量，一般为账和或密码；有效载荷：可以设置Burp自带密码字典或用本地自己的字典，有效负载处理可以设置密码的处理方式，base64或头尾加符号；

image.png

把密码选项增加变量放入测试器

image.png

加入密码库 暴力破解

image.png
两个变量密码爆破
image.png

Repeater（重发器）：用于XSS、手动调试、逻辑漏洞、代码编写后发送。