Burp Suite抓包使用步骤「建议收藏」

Burp Suite抓包使用步骤「建议收藏」原创https://www.cnblogs.com/mihoutao/p/11690432.html金龟子大战猕猴桃BurpSuite抓包工具的操作步骤见安装步骤那篇博客检查是否存在漏洞,就看拦截之后修改过的数据是否写进了数据库举例一、上传文件1、打开Burp.调整Proxy-Intercept-Interceptison为‘Interceptisoff’(拦截器开关)2、在火狐中打开需要拦截的网页,(比如同charlse博客里面写到的上传1.txt文件),点击上传文件按钮3、回

大家好,又见面了,我是你们的朋友全栈君。

原创https://www.cnblogs.com/mihoutao/p/11690432.html
金龟子大战猕猴桃

Burp Suite抓包工具的操作步骤见安装步骤那篇博客

检查是否存在漏洞,就看拦截之后修改过的数据是否写进了数据库

举例一、上传文件

1、打开Burp.调整Proxy-Intercept-Intercept is on为‘Intercept is off’(拦截器开关)
在这里插入图片描述
2、在火狐中打开需要拦截的网页,(比如同charlse博客里面写到的上传1.txt文件),点击上传文件按钮
在这里插入图片描述
3、回到burp里面,将拦截器开关设置为Intercept is on
在这里插入图片描述
4、再回到浏览器上传文件app.png,然后回到burp里面可以看到上传的情况,就像charles里面的Edit Request操作页面

目前发现的一个问题:burp上传材料会给数据库里面插入修改前和修改后2条数据,上传txt会有问题
在这里插入图片描述

5、在空白的地方,右键——Send to Repeater
在这里插入图片描述

6、进入Repeater模块,修改文件名app.png为app.aspx,点击上方的GO,在Response看结果
在这里插入图片描述
在这里插入图片描述
成功之后可以去数据库里面查看结果,这个和charles使用基本相同

举例二:密码加密处理
在这里插入图片描述

举例三:暴力破解:看是否能通过系统的随机组合,获取到登录的用户名或密码,进到网站登录页面进行登录

在这里插入图片描述

1、网站登录页面,burpsuite打卡拦截器后,网页点击确定登录,得到如下图
在这里插入图片描述

2、点击Action——Send to Intruder
在这里插入图片描述
3、点击Intruder模块
在这里插入图片描述
4、点击Positions查看到如下页面:进行爆破参数的设置,比如我选择密码123,也可以选择其他参数,如果只选择其中一个参数,Attack type默认Sniper

在这里插入图片描述
如果爆破参数为2到20个时Attack type选择Cluster bomb
在这里插入图片描述
5、我这里只设置1个爆破参数,密码123:先清除所有的爆破参数Clear §——然后选中密码123——点击右侧的Add §
在这里插入图片描述
6、Payloads中设置基本参数
在这里插入图片描述
7、设置完之后点击Start attack

在这里插入图片描述
8、爆破完成之后,会发现最终爆破的结果,只需要观察哪一行的长度和其他行不一样即可:点击Length即可,第一行为空的默认是拦截请求当中的参数(此时我设置的是正确的密码123),点击Length后,第2行就是正确的密码123,此时就获取到了正确的密码
在这里插入图片描述

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/132284.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • python表白代码大全简单-python表白代码

    python表白代码大全简单-python表白代码广告关闭腾讯云双11爆品提前享,精选热门产品助力上云,云服务器首年88元起,买的越多返的越多,最高满返5000元!作者|马超编辑|jane来源|csdn博客【导语】转眼又到了咱们中国传统的情人节七夕了,今天笔者就带大家来领略一下用python表白的方式。让程序员的恋人们感受一下it人的浪漫。一、词云制作首先咱们可以用之前介绍过的wordcould包制作词云。wordc…

  • webstorm的永久激活码2021-激活码分享[通俗易懂]

    (webstorm的永久激活码2021)最近有小伙伴私信我,问我这边有没有免费的intellijIdea的激活码,然后我将全栈君台教程分享给他了。激活成功之后他一直表示感谢,哈哈~IntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,下面是详细链接哦~https://javaforall.cn/100143.html…

  • 使用Gstreamer处理RTSP视频流

    使用Gstreamer处理RTSP视频流文章目录RTSP视频流处理方法1.Gstreamer整体框架1.1MediaApplications1.2CoreFramework1.3Plugins2.Gstreamer组件2.1Element2.2Pad2.3Bin和Pipeline3.gstreamertools3.1gst-inspect-1.03.2gst-launch-1.04.参考链接RTSP视频流…

    2022年10月18日
  • 2022年0425 ICEM网格划分学习笔记[通俗易懂]

    2022年0425 ICEM网格划分学习笔记[通俗易懂]ICEM学习笔记

  • 网络功能虚拟化NFV[通俗易懂]

    网络功能虚拟化NFV[通俗易懂]1NFV简介1.1NFV的产生背景网络功能虚拟化(NFV)技术是为了解决现有专用通信设备的不足而产生的。通信行业为了追求设备的高可靠性、高性能,往往采用软件和硬件结合的专用设备来构建网络。比如专用的路由器、CDN、DPI、防火墙等设备,均为专用硬件加专用软件的架构。这些专用通信设备带来高可靠性和高性能的同时,也带来一些问题。网元是软硬件垂直一体化的封闭架构,业务开发周期长、技术创新难、扩展…

  • vc中关于 directx的配置,和dxsdk_extras(directshow)

    vc中关于 directx的配置,和dxsdk_extras(directshow)

    2021年12月13日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号