中华人民共和国网络安全法

阅读本文前，请熟读并遵守中华人民共和国网络安全法： www.npc.gov.cn/npc/c30834/…  

 

简介

莫得简介，扫就完事了  

安装下载

偷来的连接，照着装，不会问百度 blog.csdn.net/LUOBIKUN/ar…

用户配置

在如下图中的界面配置你的界面等    

代理配置

burpsuite可以充当代理，决定请求的发送与否  

1.设置浏览器代理

配置浏览器代理，通过switchysharp插件实现，插件使用方法：blog.csdn.net/qq_25490573… 配置如下，点击保存  

2.配置burpsuite监听

打开burpsuite，按照图中指示配置一个本机地址的1082端口的监听

3.配置证书

首先点击下图中的按钮，变为intercept is on 然后将浏览器代理选为上面设置的burpsuite 然后访问用浏览器访问 http://burp 然后点击 CA Certificate按钮，会下载一个证书 然后在浏览器中依次进入设置 设置-》隐私设置和安全性-》安全-》证书管理-》受信任的证书颁发机构-》导入 然后将刚才生成的证书导入进去 此时再用burpsuite代理访问https的网站，就能够正确抓包

拦截请求

在浏览器中开启burpsuite代理，访问一个https的网站，在burpsuite中看到，如下图

• forward 放行
• drop 丢弃
• intercept is on/off 拦截开关
• action 菜单
• raw 文本形式显示，可以在上面直接进行修改
• params url，cookie等信息
• headers http的请求头
• hex 二进制显示，可以进行00截断
• http histroy ：所有经过burpsuite代理的请求都会被记录下来，不管开没开拦截

APP流量拦截

我们将手机app运行在模拟器中，一般如雷火，逍遥之类都可以 然后按照如下步骤进行安装

1.将上面的证书，后缀改为.cer 2.设置模拟器的下载共享目录为pc上证书的目录 3.在模拟器的手机中，到响应目录下打开证书，进行安装。 4.在burpsuite中，开启一个代理，方法和上面一样 5.设置wlan代理，手机-》设置-》wlan-》长按已连接的wlan-》修改网络-》显示高级选项（可能没有这步）-》代理-》手动 然后在上面设置代理，主机名称，和端口号，和第四步保持一致（别是127.0.0.1），然后点击保存。

此时就可以用burpsuite监控手机流量了。      

重放模块

在proxy中通过action将一个请求发送到repeater模块， 在重放模块中，可以通过调整，各种登陆参数，达到攻击的效果。      

入侵模块

burp自带了一个撞库模块，intruder 将一个请求 send to intruder 在正文中，通过§标记需要暴力破解的内容 然后设置payload 选择字典 有些请求的内容对密码是进行加密的，比如说md5，可以在下图未知设置，点击ok，设置完成 然后在options中，设置线程数等相关设置，然后点击 右上角的start attack就可以开始测试了。