从前有个神器叫做bp

下面是来自某度对burpsuite的定义。

• Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。

但是看这些我们可能理解不到bp（即burpsuite）的好处，但是若是我道出现实的真相，各位又该如何面对呢？虽然burpsuite只是有一个基于Java开发的“软件”，但是其在渗透测试方面做出的贡献是极其突出的，大多数的渗透测试工程师都会优先选择bp作为抓包工具。

bp-CTF

bp在ctf中也有不可或缺的作用，其中用来查看http报头以及http重发的作用最为显著。我们甚至可以在SQL注入中使用bp来判断哪些符号进行了过滤。这里我们也就ctf中会遇到的bp问题来解决（主要侧重于暴力破解）。

bp-http报头

这里向各位大佬分享一个较为全面的博客。

developer.mozilla.org/zh-CN/docs/…

bp-proxy

proxy中文意思为代理，在burpsuite中便是抓取网站数据包的界面， 不过在抓包前我们首先需要知道从哪里进行抓包，这里我们使用箭头指向的位置，就是开启代理的通口，如图，若是我们的bp界面是这个样子的，那就证明bp无法进行抓包，只有我们点击那个按键，将off转化为on也就证明了我们可以开始抓包了。不过当然这有一个前提，就是我们在网站上成功挂上了代理，否则就是咱们把bp给整崩溃了，也无法得到抓包后的页面。

而当我们开启代理之后，我们就可以得到如下的界面。（问就是百度云欺我穷无力）

这样我们也可以看到我们想要的报头。同时还有一种方式进行抓包，不过由于安全性的问题，不到万不得已不建议使用。就是点击open，他会带我们走进另一个世界。

进入到这个网页我们只需要将网址输入进去，就可以得到我们想要的http报头。

这里提醒一下，要是我们想要看另一个网页的报头，要重新启动红绿灯哦。

bp-intruder

对proxy有了一个大概的了解，我们接下来就可以去了解一下其他的东西了，这里咱们就先看下intruder（即攻击器），爆破密码也就是用这个东西进行的。 那么我们如何将数据发送进入到攻击器内呢，我们就可以使用鼠标右键进行send。

之后我们就会得到另一个全新的界面

至于里面的具体功能在这里就不细说了，如果想要了解可以点击阅览后面的网站。 blog.csdn.net/qq_35793285…

• 注意爆破使用的字典需要自己去查找，可以上github网站上获取，也可以是自己临时添加。

bp-repeater

这个模块的进入方式与intruder相同，但是常常被新手看不起，其实这个模块的能力非常厉害，可以让我们查看在网页表层之下的东西。 当我们点击发送之后，我们就可以得到右边的内容，里面往往藏有宝藏。有时题目中的用户名就可以从中挖掘，还有UA头信息等等。