burpsuite常规操作

本文主要对burpsuite常用的功能操作做介绍

• 软件安装

burpsuite软件依赖java环境，所以使用前需要安装jdk

下载地址：https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

• 配置代理

然后需要在浏览器中配置代理

IE：设置 -> internet选项 -> 连接 -> 局域网设置 -> 代理服务器

Firefox：选项 -> 高级 -> 网络 -> 设置 -> 连接设置
也可以借助插件例如 proxy switcher来一键设置

Chrome：设置 -> 下滑到最下面高级 -> 系统 -> 打开您计算机的代理设置 -> 手动设置代理
也可以借助插件例如 SwitchyOmega来一键设置

上述配置的地址和端口跟burpsuite，proxy选项卡下的options下的IP和端口保持一致，这就说明让浏览器发出的http请求先经过burpsuite代理，然后再到服务端。

• 功能介绍

正确配置代理后，即可通过burpsuite抓包，这里提一点，当抓取https的站点时，需要在浏览器中导入burpsuite证书，直接在配置代理的浏览器中访问127.0.0.1:8080即可下载证书，导入到浏览器即可。

1）抓包改包

当 proxy选项卡 -> intercept 选项卡 -> intercept is on 开启时，表明burp处于抓包拦截状态，此时在配置好代理的浏览器中访问http请求，请求会拦截在burpsuite中

这时，可以在数据包内容框右键sent to repeater，将数据包发送到repeater选项卡

在repeater选项卡中，就可以方便对数据包进行更改重放操作，对请求修改后点击go即可重放

当然也可以对拦截的请求修改后点击 forward 单步放行

2）暴力破解

burpsuite的另一个实用功能是可以执行暴力破解或者fuzz测试，位于 intruder 选项卡，比如我们先拦截一个登陆框POST请求，右键发送到 intreder

然后切换到intruter 选项卡，有三个子项需要配置

在postions 选项卡中配置要爆破的字段

比如爆破用户名密码两个字段，就选中用户名内容点击add，即可添加标签，添加完对应的字段会用§符号标记起来；要爆破几个字段就添加几个字段。在attack type里指定的是爆破模式，burpsuite里列了4种，分别为：

sniper：这种模式一次只能设定一组payload，例如有 username 和 password两个字段需要爆破，设定的payload字典有n个，那么就会有2n种爆破组合

battering ram：这种模式一次也只能设定一组payload，例如有 username 和 password两个字段需要爆破，设定的payload字典有n个，那么就会有n种爆破组合

pitch fork：这种模式需要设置payload组数跟爆破的字段数一致，例如有 username 和 password两个字段需要爆破，设定的username的payload字典有n个，password的payload字典有m个，如果n<m，那么就会有n种爆破组合，反之有m种组合

cluster bomb：这种模式需要设置payload组数跟爆破的字段数一致，例如有 username 和 password两个字段需要爆破，设定的username的payload字典有n个，password的payload字典有m个，那么就会有 n*m种组合，这种方式使用比较多

在payload 选项卡中加载上述提到的payload字典，可以选择load导入文件，也可以直接add单个添加，按照前面的爆破方式确定导入几组payload。要爆破字段有多少个，在payload set下拉框下就有多少个选项，对应前面的字段数

在options字段里可对爆破线程进行设置，当然在该选项卡下面的 grep match功能处可以设置回显信息以便于判断是否爆破成功，在这里设置后在执行爆破时会多一个回显判断字段，当然也可以不设置，一般而言根据数据包返回长度也可以做判断，下图我们设置了一个登录失败的回显字段

最后执行爆破，点击一级选项卡 intruder ，点击start attack，开始执行爆破，下图是我们设置了一个登录失败的回显字段，所以在爆破参数中有这一列字段，如果匹配到了就是登录失败的，没匹配到可能就是成功的，点击字段参数可进行排序，下图排序后第一条就是成功爆破的结果；当然按前面说的，此处根据length字段筛选也是可以区分的

burpsuite抓取APP数据包

利用burpsuite抓app数据包原则上跟web一样，需要我们运行app的手机和笔记本位于同一网络，或者直接利用电脑分享一个热点，手机连接电脑的热点，需要注意三点内容

• 在burpsuite中添加监听IP和端口，如果手机电脑位于同一无线网段，此处选择电脑无线网卡IP即可；如果手机连接的是电脑热点，此处选择电脑分享热点的虚拟网卡即可

添加完成结果

• 手机中设置代理IP及监听端口

• 通过代理访问任意https网站，导出burpsuite证书安装到手机

可以直接在手机上访问代理的ip端口（192.168.10.103:8080）下载burpsuite证书安装到手机

完成，即可抓app数据包

当然，利用对于安卓利用模拟器操作也是可以的，还更方便，但对于APP只能运行在手机的就得通过这种方式了。

如果通过burpsuite抓https包时出现错误：SSL handshake alert: unrecognized_name error

一般是由于Java版本问题，解决办法：java -Djsse.enableSNIExtension=false yourClass

以上只是介绍burpsuite基础常用功能，burpsuite还有其它更多实用功能，包括可以扩展自定义插件，可以自行查询相关教程，后续内容将开始对常见漏洞进行讲解，结合实例环境从代码层面进行分析利用