Burp Suite 是一套全面的 Web 应用程序安全测试工具(渗透测试集成平台、包含了许多工具),涵盖从应用程序攻击面分析,到寻找和利用安全漏洞的全过程;默认情况下,Burp Proxy 只拦截请求的消息,普通文件请求如 css、图片是不会被拦截的,你可以修改默认的拦截选项来拦截这些静态文件
1、版本介绍
基于 java 开发的项目, 分为免费社区版、付费专业版、企业版;
- 社区版(Community):使每个人都可以访问 Web 安全测试的基础知识 - 培养下一代安全专业人员
- 专业版(Professional):被超过 60,000 名渗透测试人员和漏洞赏金猎人使用,以更快地发现更多漏洞
- 企业版(Enterprise):大规模 Web 漏洞扫描
java17 环境
1、kali & Ubuntu desktop 20
sudo apt update
sudo apt install openjdk-17-jre openjdk-17-jre-headless -y
java --version
> openjdk 17.0.3 2022-04-19
> OpenJDK Runtime Environment (build 17.0.3+7-Ubuntu-0ubuntu0.20.04.1)
> OpenJDK 64-Bit Server VM (build 17.0.3+7-Ubuntu-0ubuntu0.20.04.1, mixed mode, sharing)
2、Windows、macOS 操作类似,这里不再介绍
BurpSuite 激活
burpsuite_pro_v2022.2.3 官方下载地址
burpsuite 激活工具, 蓝奏云下载地址; 提取码:35rf; 该激活工具支持 V2022.2.3(2022 年 3 月 11 日发布), V2022.3.8(2022 年 5 月 20 日发布)
1、下载 BurpSuite 及其激活工具后,将其解压后放于同一文件夹下,执行部署操作
# BurpSuite 主程序
burpsuite_pro_v2022.2.3.jar
# bp 引导程序及激活工具
burpsuiteLoader.jar
burploader-keygen.jar
# linux & windows 启动脚本
start.sh
start.vbs
2、首先启动程序 burploader-keygen.jar 生成 license 信息, 其次再启动 burpsuite_pro_v2022.2.3.jar
# 启动注册机 keygen
java -jar burploader-keygen.jar
# linux 启动脚本 start.sh
java --illegal-access=permit -Dfile.encoding=utf-8 -javaagent:burpsuiteLoader.jar -noverify -jar burpsuite_pro_v2022.2.3.jar
# windows 启动脚本 start.vbs
java --illegal-access=permit -Xmx8G -XX:-UseParallelGC -noverify --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED -javaagent:burpsuiteLoader.jar -Dfile.encoding=utf-8 -jar burpsuite_pro_v2022.2.3.jar
3、其具体操作顺序如下图所示:
选择第四步, 手动激活
4、启动 BurpSuite,验证破解是否成功
java --illegal-access=permit -Dfile.encoding=utf-8 -javaagent:BurpSuiteLoader_v2022.2.3.jar -noverify -jar burpsuite_pro_v2022.2.3.jar
入门使用
使用 Burp Proxy 拦截和修改 HTTP 流量
使用 Burp Repeater 重新发出请求来探测漏洞
使用 Burp Scanner 运行自动漏洞扫描并生成报告
具体操作详见视频
重要提醒: 由于笔者时间、视野、认知有限,本文难免出现错误、疏漏等问题,期待各位读者朋友、业界大佬指正交流, 共同进步 !!
