Burpsuite密码爆破和基础SQL注⼊(含安装)
1.burp suite简介
Burp Suite 是⽤于攻击web 应⽤程序的集成平台,包含了许多⼯具。Burp Suite为这些⼯具设计了许多接⼝,以加快攻击应⽤程序的过程。所有⼯具都共享⼀个请求,并能处理对应的HTTP 消息、持久性、认证、代理、⽇志、警报。
1.Target(⽬标)——显⽰⽬标⽬录结构的的⼀个功能
2.Proxy(代理)——拦截HTTP/S的代理服务器,作为⼀个在浏览器和⽬标应⽤程序之间的中间⼈,允许你拦截,查看,修改在两个⽅向上的原始数据流。
3.Spider(蜘蛛)——应⽤智能感应的⽹络爬⾍,它能完整的枚举应⽤程序的内容和功能。
4.Scanner(扫描器)——⾼级⼯具,执⾏后,它能⾃动地发现web 应⽤程序的安全漏洞。
5.Intruder(⼊侵)——⼀个定制的⾼度可配置的⼯具,对web应⽤程序进⾏⾃动化攻击,如:枚举标识符,收集有⽤的数据,以及使⽤fuzzing 技术探测常规漏洞。
6.Repeater(中继器)——⼀个靠⼿动操作来触发单独的HTTP 请求,并分析应⽤程序响应的⼯具。
7.Sequencer(会话)——⽤来分析那些不可预知的应⽤程序会话令牌和重要数据项的随机性的⼯具。
8.Decoder(解码器)——进⾏⼿动执⾏或对应⽤程序数据者智能解码编码的⼯具。
9.Comparer(对⽐)——通常是通过⼀些相关的请求和响应得到两项数据的⼀个可视化的“差异”。
10.Extender(扩展)——可以让你加载Burp Suite的扩展,使⽤你⾃⼰的或第三⽅代码来扩展Burp Suit的功能。
11.Options(设置)——对Burp Suite的⼀些设置
2. burp suite的安装配置
我的安装包⽂件,可以⾃⾏去下载或者评论我我我给发
这次实验⽤的是burp suite1.7.26
在安装前需要把JAVA环境配好安装好,JDK需配好,JAVA最好是8的版本,不要太⾼,我的就是8打开burpsuite的安装包
点击run
把蓝⾊的乱码复制到跳出来的页⾯
输⼊如图,next
点击Manual activation
把右边的2号框⾥的密码复制到左边的Activation Request这个框⾥,然后左边最后⼀个框会⾃动填充,在把⾃动填充的复制到右边最后⼀个框⾥就可以了,next
安装完成
3.浏览器代理、证书配置
打开⽕狐浏览器(没有的话⽤chrome也⾏)
搜索代理,点击设置
把burpsuite这⾥点上
设置成如下图,开启⼿动代理配置,http代理填127.0.0.1,为所有协议使⽤相同的代理服务器打开
然后选择保存⽂件
