一、Burp Suite模块的使用
实验报告
Burp 模块
实验环境:使用BurpUnlimited(Burp Suite)工具
实验要求和目的:Burp 8个模块的使用实列,练习渗透测试。
实验步骤:
- Proxy 监听代理模块 与其他模块配合使用
Burp 代理
浏览器代理:火狐浏览器代理、谷歌浏览器代理
证书,访问https 时需要证书,可以在burp 添加,火狐浏览器单独添加证书。
2.Repeater重放
3. Intruder **
3.1、密码**
**
4.Target 站点模块
Target —》site map 站点地图 (只要从bp经过的流量 都会在此显示)
—》 Target Scope 目标域设置
在横条处可以过滤想要看到的。
将需要操作的网站 添加到 scope
现在需要对这个网站往下爬,需要用到Spider 爬虫模块。
5.Spider 爬虫模块
爬虫是根据连接找页面,还有可能爬的连接不全, 需要手动和bp工具一起用。
使用 DVWA-master当作爬虫目标 (是个靶场工具)
下载解压到phpStudy 的 www目录下,打开config文件。复制 .dist 文件并重命名为config.inc.php 。 打开此文件,将修改数据库用户名和密码(之前设置的用户名和密码都是root)。
打开浏览器,输入http://localhost 选择解压的DVWA ,可弹出登录界面,输入
用户名 admin 密码 password 。即可进入。
开启代理抓包 (拦不拦截都可以)
已经有一部分,不全,开启爬虫。
进入Spider Options 登录选择最后一项自动选择,输入用户名 admin 密码password
将需要操作网站发送到 scope。
使用爬虫。
查看爬到的内容,还是不全,
这时需要手动去浏览器 dvma 左侧框按个点击,爬到的会增加。
6.Scanner 扫描
扫描
**扫描 默认是不扫描
扫小点的
查看扫描
导出xml格式报告到桌面,双击打开,可看到 报告内容。
7.Comparer 比较模块
从浏览器 dvwa中输入传的信息
代理 拦截 抓包
Go 一下 将右侧的内容复制到 Comparer 比较模块,paste粘贴。这时第1条。
将内容复制到文本内 删除内容后 在复制到 Comparer 比较模块。这时第2条。
此时点击 words 比较。可明显看出删除部分。