burpsuite如何打开（burpsuite的高级功能使用）

小君 2022-12-13 10:33:09 713

burpsuite如何打开（burpsuite的高级功能使用）Locations主要用于控制关键字查找的范围：请求消息头、请求消息Body、应答消息头、应答消息Body新、反向匹配我们在搜索框输入关键字，点击【Go】之后，下面的列表中将自动显示匹配到的所有消息默认匹配时，是从HTTP消息中的Host、url、请求消息头，请求消息Body、应答消息头、应答消息Body中搜索匹配字段。Options主要控制关键字匹配的方式：大小写敏感、域内搜索、正则表达式匹配、动态更

burpsuite如何打开（burpsuite的高级功能使用）(1)

菜单栏

Engagement tools

burpsuite如何打开（burpsuite的高级功能使用）(2)

burp

数据查找（Search）数据查找功能主要用来快速搜索Target、Proxy、Repeater三个组件中的请求和应答消息的内容.

我们在搜索框输入关键字，点击【Go】之后，下面的列表中将自动显示匹配到的所有消息

burpsuite如何打开（burpsuite的高级功能使用）(3)

默认匹配时，是从HTTP消息中的Host、url、请求消息头，请求消息Body、应答消息头、应答消息Body中搜索匹配字段。

Options主要控制关键字匹配的方式：大小写敏感、域内搜索、正则表达式匹配、动态更

新、反向匹配

Locations主要用于控制关键字查找的范围：请求消息头、请求消息Body、应答消息头、应答消息Body

Tools主要用于控制关键字搜索的Burp工具组件的范围：Target、Proxy、Repeater

burpsuite如何打开（burpsuite的高级功能使用）(4)

Intruder 菜单主要用于自动化攻击的相关配置

Start attack 开始发起攻击

Open save attack 重新加载之前保存的Intruder攻击文件

Save attack config、Locd attack config、Copy attack config，主要控制Intruder的攻击配置信息

Automatic payload position主要用于控制payload的使用方式：替换参数值或者追加参数值

Configure predefined payload lists用于控制Burp默认的payload字典值，当我们点击此菜单时，会弹出payload字典配置文件的界面：

burpsuite如何打开（burpsuite的高级功能使用）(5)

burpsuite如何打开（burpsuite的高级功能使用）(6)

Repeater

Repeater主要用于Repeater工具的控制:

Update Content-Length 当执行Repeater操作时，自动更新消息头中的Content-Length Unpack gzip /deflate 解压压缩文件

Follow redirections 跳转控制，可以选择从不跳转、同一站点内跳转、Scope内跳

转、始终跳转四种的其中之一

Process cookie in redirections 跳转的同时是否处理Cookie

View控制Repeater面板整个布局

burpsuite如何打开（burpsuite的高级功能使用）(7)

Engagement tools

Find references 指对选中的某条Http消息获取其referer信息

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的。

burpsuite如何打开（burpsuite的高级功能使用）(8)

Discover content 是指对选中的某条Http消息，根据其url路径，进行目录枚举和文件枚举操作

burpsuite如何打开（burpsuite的高级功能使用）(9)

挖掘的文件名（filenames）选项有：

Built-in short file list内联的短文件列表

Built-in short directory list内联的短目录列表

Built-in long file list内联的长文件列表

Built-in long directory list内联的长目录列表

Names discovered in use on the target site 网站内发现的名称

Derivations based on discovered item基于已有名称进行猜测。

burpsuite如何打开（burpsuite的高级功能使用）(10)

burpsuite如何打开（burpsuite的高级功能使用）(11)

Schedule task任务时间表

任务时间表的功能主要是把当前选中的url作为初始路径，然后设定时间，进行多种任务的选择，最后按照任务时间表进行执行。

burpsuite如何打开（burpsuite的高级功能使用）(12)

Generate CSRF Poc

Generate CSRF Poc生成CSRF的POC 此功能的作用是，依据选中的http消息，自动生

成CSRF的POC内容。当我们把POC的内容保存为HTML即可执行。

burpsuite如何打开（burpsuite的高级功能使用）(13)

burpsuite如何打开（burpsuite的高级功能使用）(14)

burpsuite如何打开（burpsuite的高级功能使用）(15)

我们可以选择根据http特性自动生成、url编码的form表单、Mutipart类型的form表单、普通文本的form表单、跨域的异步请求以及自动提交，当我们设置好之后，点击左下角的【Regenerate】重新生成即可。

burpsuite如何打开（burpsuite的高级功能使用）(16)

需要注意的是，Mutipart类型的form表单和普通文本的form表单的选择是由http消息中包含的content-type决定的。如果修改了POC的生成设置，则需要点击左下角的【Regenerate】按钮，重新生成POC。当POC生成之后，你可以使用【CopyHTML】文本，放入html文件中进行浏览执行，也可以点击【Test in Brower】，在浏览器中直接预览执行，进行测试。

点击以后直接在浏览器粘贴就可以进行浏览了

burpsuite如何打开（burpsuite的高级功能使用）(17)

burpsuite如何打开（burpsuite的高级功能使用）(18)

网站首页

返回栏目