美文网首页
Eight Burpsuite使用/手机抓包

Eight Burpsuite使用/手机抓包

作者: _Beginner | 来源:发表于2020-03-06 16:06 被阅读0次

    一.准备及介绍:

    1.本文介绍Burpsuite、WAF使用、手机抓包。

    2.准备:安卓手机、Burpsuite。


    二.Burpsuite介绍与WAF使用:

    1.打开Burpsuite:官网下载点我

    2.Dashboard(仪表盘)

                1)新建:

              2)等待完成即可。

    3.Target(目标):对扫描完成的项目进行查看:

          范围:可以添加多级域名,问题定义:里面对高中低漏洞进行了说明。

    4.Proxy(代理):在选项中设置好IP和端口,并在浏览器中设置相对应的代理,既可以进行抓包。

            若要抓取https,需在选项中导出“DER 格式的证书”,然后保存到C盘,打开浏览器设置→高级→ 隐私设置和安全性→管理证书中,除了“未受信任的发布者”外,依个导入,即可。

    5.Intruder(测试器):用于暴力破解账号密码。

               目标:IP地址及端口;位置:Sniper只能爆破一个变量,一般为账号或密码;Pitchfork能爆破两个变量,一般为账和密码;pitchfork多对多账号密码爆破。有效载荷:可以设置Burp自带密码字典或用本地自己的字典,有效负载处理可以设置密码的处理方式,base64或头尾加符号;

    6. Repeater(重发器):用于XSS、手动调试、逻辑漏洞、代码编写后发送。

    7.Sequencer(定序器):做令牌,基本不会用到

    8.Decoder(编码器):编码转换。

    9.comparer(对比器):对比代码不用的地方,一般用于包或数据对比。

    10.Extender (插件扩展):Burp的扩展库,有许多好用扩展插件。API使用。

    11.Project options(项目选项):若自己有使用扩展;会议→会话处理规则中添加即可。

    12.(user options用户选项):中表示可设置Burp的字体大小及外观。

    13.Bypass WAF使用:

    在扩展中找到 Bypass WAF,在Project options(项目选项)添加,然后在代理中拦截右键发送到Repeater(重发器),即可看到WAF伪造IP。


    三.Burp手机抓包:

    1.手机连接wifi,保证和电脑IP在同一网段,然后Burp设置“代理监听器”,并将手机代理设置成Burp的一样IP和端口;

    2.若要抓https的包,需要导出DER证书,保存的时候添加后缀   .crt,( 否则安卓会安装失败 ),保存过后发送到手机

    因为我的已经保存为  .crt,所以手机直接点击后可以直接选择证书安装,设置:若没有设置  .crt,自行找到文件所在位置,重命名为bp.crt,然后点击即可:

    3.Burp和手机设置好后,打开Burp进行拦截抓包吧:

    手机随便打开一个网页,Burp会抓到包,并且,网页无法打开。

    声明:本文仅用于学习,若读者用于非法用途,与作者无关,最终解释权归作者所有,转载请留链。

    相关文章

      网友评论

          本文标题:Eight Burpsuite使用/手机抓包

          本文链接:https://www.haomeiwen.com/subject/iksirhtx.html