一.准备及介绍：

1.本文介绍Burpsuite、WAF使用、手机抓包。

2.准备：安卓手机、Burpsuite。

---

二.Burpsuite介绍与WAF使用：

1.打开Burpsuite：官网下载点我

2.Dashboard(仪表盘)

            1)新建:

          2)等待完成即可。

3.Target(目标)：对扫描完成的项目进行查看：

      范围：可以添加多级域名，问题定义：里面对高中低漏洞进行了说明。

4.Proxy(代理)：在选项中设置好IP和端口，并在浏览器中设置相对应的代理，既可以进行抓包。

        若要抓取https，需在选项中导出“DER 格式的证书”，然后保存到C盘，打开浏览器设置→高级→ 隐私设置和安全性→管理证书中，除了“未受信任的发布者”外，依个导入，即可。

5.Intruder(测试器)：用于暴力破解账号密码。

           目标：IP地址及端口；位置：Sniper只能爆破一个变量，一般为账号或密码；Pitchfork能爆破两个变量，一般为账和密码；pitchfork多对多账号密码爆破。有效载荷：可以设置Burp自带密码字典或用本地自己的字典，有效负载处理可以设置密码的处理方式，base64或头尾加符号；

6. Repeater（重发器）：用于XSS、手动调试、逻辑漏洞、代码编写后发送。

7.Sequencer(定序器)：做令牌，基本不会用到

8.Decoder(编码器)：编码转换。

9.comparer（对比器）：对比代码不用的地方，一般用于包或数据对比。

10.Extender (插件扩展)：Burp的扩展库，有许多好用扩展插件。API使用。

11.Project options（项目选项）：若自己有使用扩展；会议→会话处理规则中添加即可。

12.（user options用户选项）：中表示可设置Burp的字体大小及外观。

13.Bypass WAF使用：

在扩展中找到 Bypass WAF，在Project options（项目选项）添加，然后在代理中拦截右键发送到Repeater（重发器），即可看到WAF伪造IP。

---

三.Burp手机抓包：

1.手机连接wifi，保证和电脑IP在同一网段，然后Burp设置“代理监听器”，并将手机代理设置成Burp的一样IP和端口；

2.若要抓https的包，需要导出DER证书，保存的时候添加后缀   .crt,( 否则安卓会安装失败 )，保存过后发送到手机

因为我的已经保存为  .crt，所以手机直接点击后可以直接选择证书安装，设置：若没有设置  .crt，自行找到文件所在位置，重命名为bp.crt，然后点击即可：

3.Burp和手机设置好后，打开Burp进行拦截抓包吧：

手机随便打开一个网页，Burp会抓到包，并且，网页无法打开。

声明：本文仅用于学习，若读者用于非法用途，与作者无关，最终解释权归作者所有，转载请留链。