Burpsuite

简介

Burpsuite是用于攻击WEB应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
所有工具都共享一个能处理并显示HTTP消息、持久性、认证、代理、日志、报警的一个强大的可扩展的框架

工具箱

proxy:代理,默认地址为127.0.0.1,端口8080
target:站点目标,地图
spider:爬虫
scanner:漏洞扫描
repeater:http请求消息与响应消息修改重放
intruder:暴力破解
sequencer:随机数分析
decoder:各种编码格式和散列转换
comparer:可视化差异对比功能

爆破

基本流程

  1. 抓登陆请求包
  2. 将请求包发送至intruder模块
  3. 设置爆破位置,对哪些参数进行爆破
  4. 设置爆破字典,使用什么字符对选中位置进行爆破
  5. 开始爆破

爆破方式

  1. 分别对选择的位置进行爆破
  2. 对多个位置使用同一个字典同时爆破
  3. payload1payload2对应成组分别爆破
  4. 基于排列组合原理,将所有可能进行组合爆破(最常用的多位置爆破方式)

补充

Payload、exp、poc

payload:攻击载荷,即漏洞的利用方式
exploite(exp):漏洞的利用方式,要出现利用结果
poc:漏洞验证方式,出现是否存在漏洞的验证结果

火狐代理设置

Firefox代理不影响全局代理

您的支持是我前进的动力!