一.准备及介绍:
1.本文介绍Burpsuite、WAF使用、手机抓包。
2.准备:安卓手机、Burpsuite。
二.Burpsuite介绍与WAF使用:
1.打开Burpsuite:官网下载点我
2.Dashboard(仪表盘)
1)新建:
2)等待完成即可。
3.Target(目标):对扫描完成的项目进行查看:
范围:可以添加多级域名,问题定义:里面对高中低漏洞进行了说明。
4.Proxy(代理):在选项中设置好IP和端口,并在浏览器中设置相对应的代理,既可以进行抓包。
若要抓取https,需在选项中导出“DER 格式的证书”,然后保存到C盘,打开浏览器设置→高级→ 隐私设置和安全性→管理证书中,除了“未受信任的发布者”外,依个导入,即可。
5.Intruder(测试器):用于暴力破解账号密码。
目标:IP地址及端口;位置:Sniper只能爆破一个变量,一般为账号或密码;Pitchfork能爆破两个变量,一般为账和密码;pitchfork多对多账号密码爆破。有效载荷:可以设置Burp自带密码字典或用本地自己的字典,有效负载处理可以设置密码的处理方式,base64或头尾加符号;
6. Repeater(重发器):用于XSS、手动调试、逻辑漏洞、代码编写后发送。
7.Sequencer(定序器):做令牌,基本不会用到
8.Decoder(编码器):编码转换。
9.comparer(对比器):对比代码不用的地方,一般用于包或数据对比。
10.Extender (插件扩展):Burp的扩展库,有许多好用扩展插件。API使用。
11.Project options(项目选项):若自己有使用扩展;会议→会话处理规则中添加即可。
12.(user options用户选项):中表示可设置Burp的字体大小及外观。
13.Bypass WAF使用:
在扩展中找到 Bypass WAF,在Project options(项目选项)添加,然后在代理中拦截右键发送到Repeater(重发器),即可看到WAF伪造IP。
三.Burp手机抓包:
1.手机连接wifi,保证和电脑IP在同一网段,然后Burp设置“代理监听器”,并将手机代理设置成Burp的一样IP和端口;
2.若要抓https的包,需要导出DER证书,保存的时候添加后缀 .crt,( 否则安卓会安装失败 ),保存过后发送到手机
因为我的已经保存为 .crt,所以手机直接点击后可以直接选择证书安装,设置:若没有设置 .crt,自行找到文件所在位置,重命名为bp.crt,然后点击即可:
3.Burp和手机设置好后,打开Burp进行拦截抓包吧:
手机随便打开一个网页,Burp会抓到包,并且,网页无法打开。
声明:本文仅用于学习,若读者用于非法用途,与作者无关,最终解释权归作者所有,转载请留链。
网友评论