1. 安装与启动
下载burpsuite-1.4.07.jar链接:https://pan.quark.cn/s/09cc261a04d0
运行:需已安装 Java 环境(JDK 6/7/8),命令行执行:
java -jar burpsuite-1.4.07.jar
2. 配置浏览器代理
1、 设置代理:
**地址**: `127.0.0.1` 或 `localhost`
**端口**: `8080`(默认)。
**浏览器插件**(可选):如 Firefox 的 FoxyProxy 或 Chrome 的 SwitchyOmega。
1、 忽略 HTTPS 证书警告
访问 `http://burp` 下载 Burp 的 CA 证书,导入浏览器信任库。
3. 基础模块使用
Proxy(代理拦截)
-
拦截请求:
- 打开 Proxy → Intercept,点击
Intercept is on开启拦截。 - 浏览器访问目标网站,请求会暂停在 Burp 中,可修改后 Forward 或 Drop。
- 打开 Proxy → Intercept,点击
-
历史记录:Proxy → HTTP history 查看所有请求。
Target(目标管理)
- 添加目标:在 Target → Site map 中右键添加域名或手动输入。
- Scope 设置:定义测试范围(如
*.example.com)。
Scanner(扫描器,仅Pro版)
- 右键目标 →
Actively scan启动主动扫描(旧版功能可能有限)。
Spider(爬虫)
- 右键目标 →
Spider this host爬取网站目录。
Repeater(重放)
- 从 Proxy/History 右键请求 →
Send to Repeater,手动修改并重复发送。
Intruder(爆破)
- 发送请求到 Intruder。
- 设置攻击类型(如 Sniper、Cluster bomb)。
- 标记变量(
§包围),加载字典(Payloads)。 - 开始攻击,分析结果。
Decoder(编码/解码)
- 输入字符串,选择编码(Base64、URL、Hex 等)进行转换。
4. 移动端/APP 抓包
-
手机配置:
- Wi-Fi 代理设置为电脑 IP + 端口
8080。 - 安装 Burp CA 证书(需手机信任)。
- Wi-Fi 代理设置为电脑 IP + 端口
-
抓包:APP 流量会显示在 Proxy 历史记录中。
