burp工具安装和使用

[TOC]

---

goby安装和使用

goby的安装

1. 下载goby-win-2.4.7_Red.7z解压。

2. 以管理员身份运⾏add_hosts.bat，脚本作⽤是修改host⽂件。

3. 屏蔽goby官⽅接⼝，可以防⽌软件⽆法使⽤。（取消屏蔽即可添加插件）

goby的简单使用

1. 官方使用教程：gobysec.net/features

2. 主要功能：

1. 端口扫描格式：

2. 端口组配置：

3. 资产扫描报告涵盖端口数量、漏洞等重要信息

4. poc和字典的管理和修改

---

burp安装和使用

Burp Suite的安装

方法1：安装后破解

1. 官网安装：portswigger.net/burp/releas…。

2. 将破解工具复制安装路径下。

3. 运行 破解.bat，复制license⽂件。

4. 点击run，粘贴license文件。

5. 点击next，然后选择⼿⼯激活。

6. 将请求复制到注册机。

7. 将注册机中的结果复制回burp中，点击next，弹出激活成功。

方法二：升级burp

1. 在官网下载jar版的burp。

2. 打开原burp文件位置，找到该文件。

3. 将下载的文件替换原文件（名称也要替换）。

Burp Suite的使用

主动扫描

1. 在仪表盘处点击新建扫描，可以选择爬虫扫描或仅扫描。

2. 填入URL

3. 选择扫描模式

4. 还可以选择性扫描

被动扫描

1. 选择新建实时任务

2. 可以使用预定扫描模板或自定义扫描

Intruder

1. Intruder选项中有四个攻击方式，以及各自的简单阐述。

2. 在历史记录中将登录请求发送到Intruder。

3. 在Intruder中选中账号密码添加playload位置。

4. 在右侧添加playload配置，进行攻击

5. 攻击结果如下，200状态码 即登录成功

Repeater

1. 在历史记录中将登录请求发送到Repeater。

2. 在响应处有页面渲染功能，可在设置中选中自动重定向。

3. 左侧三个选项分别是：屏蔽不重要信息、自动换行和显示不可见字符。

4. 右键选项中还可以快捷修改请求方法和编码方法

5. 点击右上方的笔图标修改发送端口和协议

Proxy

1. 在代理下选中匹配和替换。

2. 按照下图规律添加替换，并测试。（用于绕过登录扫描后台）

3. 启用模拟其它系统，可以进入只有特定系统才能进入的网站。

效果如下：

---

明动burp插件安装和使用

明动插件的安装

1. 下载明动插件，打开Burp中的扩展。

2. 点击添加，选择文件类型和文件位置。（java类型外的类型都要额外扩展配置，如图二）

明动插件的简单使用

1. 查看颜色配置规律

2. 流量转发配置，包含白名单，黑名单和后缀黑名单

3. 与Xray工具联动