[原创]#30天写作挑战＃Burp使用手册_初识-安全工具-看雪-安全社区|安全招聘|kanxue.com

[原创]#30天写作挑战＃Burp使用手册_初识

发表于: 2020-9-9 11:20 15058

[原创]#30天写作挑战＃Burp使用手册_初识

梦幻的彼岸

2020-9-9 11:20

15058

方便初学者快速上手这款网络安全测试工具

Burp Suite是PortSwigger为您提供的一系列领先的网络安全工具。我们相信通过卓越的研究为用户提供竞争优势。

因某些原因，不方便以文本形式进行描述，
参考解决方法：使用搜索引擎解决这一问题

出现 PHP function allow_url_include: Disabled 需要修改php配置文件的 php.ini

注意1：是运行环境php目录下的php.ini 不是DVWA目录下的，并修改之后要重启运行环境以让修改生效。
（Extensions\php\php7.3.4nts\php.ini）
修改之后需要重启运行环境以让修改生效。

重启运行

5.点击创建数据库

稍等片刻，网页变为

6.默认账号密码

模拟渗透目标：594K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0p5^5x3W2)9J5k6e0p5J5z5g2)9J5c8V1c8h3g2@1q4Q4x3X3c8E0j5i4y4@1k6i4u0Q4x3V1k6D9L8$3N6A6L8W2)9J5k6i4m8Z5M7l9`.`.
打开Burp自带的浏览器
注意：2020.7版本开始具有嵌入式Chromium浏览器，该浏览器已预先配置为可以直接使用Burp Suite的全部功能。您不再需要手动配置浏览器的代理设置或安装Burp的CA证书。首次启动Burp时，即使使用HTTPS URL，也可以立即开始测试。

因现在的数据不需要可不进行拦截，关闭数据拦截功能，打开测试网站

此篇文章对Burp有了一个简单的了解，如如何抓取请求数据，进行爆破攻击，与攻击参数的多途径设置等等。。。因篇幅有限，其它使用技巧在下篇文章进行描述

期待下次相见

Professional / Community 2020.4
从此发行版开始，我们现在支持Java13。不幸的是，我们将不再能够支持Java8。绝大多数用户将不受此更改的影响。但是，如果通常直接从JAR文件直接启动Burp而不是使用提供的安装程序，则在尝试启动新的JAR文件之前，需要确保您具有Java 9至13版本之一。

配置$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
配置$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

allow_url_include=on

例如：攻击者通过网络窃听手段监听HTTP通讯协议，获取账号密码等敏感数据。
修复：以HTTPS代替HTTP协议并加密传输数据

用户名	密码
admin	password
gordonb	abc123
1337	charley
pablo	letmein
smithy	password

点击进入官方网站
点击查看软件功能介绍
点击进入各版本下载页面
网上找到的专业版学习补丁
查杀：bb4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5j5h3u0G2i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2i4K6u0r3M7$3S2G2N6$3c8W2N6r3q4A6L8q4)9K6c8Y4m8C8i4K6y4p5b7f1c8U0c8#2W2D9x3i4u0n7x3V1W2u0e0@1k6K6y4g2f1J5e0g2)9J5y4e0y4p5
初识
jar版本运行环境
Burp 2020.4 之前需Java8环境
大于等于Burp 2020.4 需>Java8环境,例如jdk9-jdk14
官方说明：

工具准备
Vmware虚拟机(已安装Windows10系统)
phpstudy集成运行环境
用于作为靶机网站源码
注意：只是一个思路分享，参考就好，不要被其左右
实体机访问虚拟机搭建的网站
注意：若虚拟机系统为Win7需关闭防火墙
1. 虚拟机网络配置
  
  2.虚拟机内网IP
  运行(快捷键：Win+R)-cmd-ipconfig
  
  3.启动phpstudy环境
  
  4.实体机浏览器输入虚拟机的内网IP
靶机搭建
1.靶机官网
c28K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8$3N6$3q4Q4x3X3g2U0L8#2)9J5k6i4g2C8i4K6u0r3
2.将下载好的靶机解压复制到phpsudy安装目录下的www目录

3.访问，因有目录访问需加目录名称DVWA-master

4.报错修改源码
根据config.inc.php.dist创建配置文件config.inc.php并根据自身运行环境修改代码

保存启动

出现 reCAPTCHA:Missing在 configure/configure.inc.php中配置两个量

登录时进行拦截，分析请求数据

发现使用http协议，并账号密码明文传输，存在安全分析：

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2020-9-9 23:03 被梦幻的彼岸编辑，原因：

上传的附件：

BurpSuiteLoader.jar （262.46kb，5次下载）

收藏・11

免费・3

支持

最新回复 (8)
kanxue 雪币： 58782 活跃值： (21875) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 612 关注私信	kanxue 8 2 楼感谢分享！方便刚入门的朋友学习，可以节省大量时间 2020-9-9 11:24 0
pureGavin 雪币： 15661 活跃值： (18963) 能力值： ( LV12，RANK：300 ) 在线值：发帖 96 回帖 1440 粉丝 298 关注私信	pureGavin 3 3 楼 mark，我之前在论坛里发过两个MSF的虚拟机，里面自带全套的DVWA和OWASP top10的练习平台 2020-9-9 12:59 0
梦幻的彼岸雪币： 4216 活跃值： (28127) 能力值： (RANK：440 ) 在线值：发帖 175 回帖 278 粉丝 502 关注私信	梦幻的彼岸 2 4 楼赞，强大的学习环境支持，学习之路，永无止境，让我们携手同行。 2020-9-9 16:55 0
SUN_121501 雪币： 30 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	SUN_121501 5 楼 mark 2020-9-9 20:12 0
22k 雪币： 16 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	22k 6 楼 pureGavin mark，我之前在论坛里发过两个MSF的虚拟机，里面自带全套的DVWA和OWASP top10的练习平台 124K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0x3r3&6&6x3g2)9J5c8Y4k6#2L8s2y4@1N6h3c8&6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1@1i4@1t1&6i4K6W2r3i4@1f1$3i4K6W2o6i4K6R3&6 2020-9-9 20:20 0
pureGavin 雪币： 15661 活跃值： (18963) 能力值： ( LV12，RANK：300 ) 在线值：发帖 96 回帖 1440 粉丝 298 关注私信	pureGavin 3 7 楼 22k 7b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0x3r3&6&6x3g2)9J5c8Y4k6#2L8s2y4@1N6h3c8&6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1@1i4@1t1&6i4K6W2r3i4@1f1$3i4K6W2o6i4K6R3&6 我的并不是从GitHub上下载的，况且GitHub最近国内访问很慢，不过用哪个都无所谓了。。。 2020-9-10 08:26 0
mb_dzjxnfqu 雪币： 45 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_dzjxnfqu 8 楼写的很好，期待下个帖 2020-9-11 13:57 0
隐世者雪币： 238 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	隐世者 9 楼感谢分享! 2021-6-16 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

梦幻的彼岸

175

发帖

278

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
kanxue 雪币： 58782 活跃值： (21875) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 612 关注私信	kanxue 8 2 楼感谢分享！方便刚入门的朋友学习，可以节省大量时间 2020-9-9 11:24 0
pureGavin 雪币： 15661 活跃值： (18963) 能力值： ( LV12，RANK：300 ) 在线值：发帖 96 回帖 1440 粉丝 298 关注私信	pureGavin 3 3 楼 mark，我之前在论坛里发过两个MSF的虚拟机，里面自带全套的DVWA和OWASP top10的练习平台 2020-9-9 12:59 0
梦幻的彼岸雪币： 4216 活跃值： (28127) 能力值： (RANK：440 ) 在线值：发帖 175 回帖 278 粉丝 502 关注私信	梦幻的彼岸 2 4 楼赞，强大的学习环境支持，学习之路，永无止境，让我们携手同行。 2020-9-9 16:55 0
SUN_121501 雪币： 30 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	SUN_121501 5 楼 mark 2020-9-9 20:12 0
22k 雪币： 16 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	22k 6 楼 pureGavin mark，我之前在论坛里发过两个MSF的虚拟机，里面自带全套的DVWA和OWASP top10的练习平台 124K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0x3r3&6&6x3g2)9J5c8Y4k6#2L8s2y4@1N6h3c8&6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1@1i4@1t1&6i4K6W2r3i4@1f1$3i4K6W2o6i4K6R3&6 2020-9-9 20:20 0
pureGavin 雪币： 15661 活跃值： (18963) 能力值： ( LV12，RANK：300 ) 在线值：发帖 96 回帖 1440 粉丝 298 关注私信	pureGavin 3 7 楼 22k 7b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0x3r3&6&6x3g2)9J5c8Y4k6#2L8s2y4@1N6h3c8&6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1@1i4@1t1&6i4K6W2r3i4@1f1$3i4K6W2o6i4K6R3&6 我的并不是从GitHub上下载的，况且GitHub最近国内访问很慢，不过用哪个都无所谓了。。。 2020-9-10 08:26 0
mb_dzjxnfqu 雪币： 45 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_dzjxnfqu 8 楼写的很好，期待下个帖 2020-9-11 13:57 0
隐世者雪币： 238 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	隐世者 9 楼感谢分享! 2021-6-16 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]#30天写作挑战＃Burp使用手册_初识

初识

jar版本运行环境