Burpsuite入门手册

顶部菜单

Burp	Project	intruder	Repeater	View	Help
Burp	项目	入侵	重放器	查看	帮助

二级菜单

Dashboard	Target	Proxy	Intruder	Repeater	Collaborator	Sequencer
仪表盘	目标	代理	入侵	重放器	协作	序列器
Decoder	Comparer	Logger	Organizer	Extensions	Learn
编码工具	比对工具	日志	组织	扩展	学习

代理设置

Proxy→Proxy settings→Add

打开火狐浏览器，扩展→搜索foxyProxy

安装代理插件(第一个)

点击选项配置插件

点击Proxies模块，手动添加标题，地址，端口；点击save保存设置

CA证书下载

打开代理插件，开启设置好的选项模块

地址栏输入http://burp

下载CA证书

打开设置，导入刚下载完成的证书

抓包成功

模块功能

Dashboard仪表盘

主要用于爬虫爬取和漏洞提示

Target目标

Site map站点地图

 通过浏览器浏览的历史记录在站点地图中的展现结果

Scope范围

目标域设置

当对某个产品进行渗透测试时，可以通过域名或者主机名去限制拦截内容，这里域名或主机名就是作用域

Target Scope主要使用于下面几种场景中

限制站点地图和Proxy历史中的显示结果

告诉Burp Proxy拦截哪些请求

Burp Spider抓取哪些内容

Burp Scanner自动扫描哪些作用域的安全漏洞

在Burp Intruder(入侵)和Burp Repeater(重放器)中指定URL

Crawl paths爬虫爬取

Issue definitions问题定义

Proxy代理

Intercept拦截

Forward放行

Drop丢弃

Intercept is off/on拦截

Action操作

Open browser打开内嵌浏览器

HTTP history  历史记录

WebSockets history通信历史记录

Proxy settings代理设置

一般情况下默认即可

Intruder入侵

Position攻击位置

狙击手

攻城锤

草叉

集束炸弹

Payloads攻击载荷

可以使用该模块对密码、库名进行口令爆破；密码越复杂需要时间越长

Resource pool资源池

一般用不到，可以自定义资源池进行攻击运行

Settings设置

保持默认即可

Repeater重放器

可在拦截页面将请求内容发送至repeater，修改内容后重放测试

Collaborator协作

一般用不到，适用于多人协作

Sequencer序列器

Live capture实时捕捉

Manual load手动加载

Sequencer settings设置

保持默认即可

Decoder编码工具

可对各种数据格式进行编码、解码操作，属于bp自带编解码工具

Comparer对比工具

可将相似的数据内容放入对比工具，可以快速发现区别，方便查找出篡改部分

Logger日志

记录bp使用日志

Organizer组织

用于储存和注释

Extensions扩展插件

Installed 已安装

插件管理

扩展插件安装完成后会出现在该管理页面

BApp Store 扩展插件商店

搜索框搜索需要的插件，在右侧点击安装即可

也可以进行导入安装

在拦截页面发送到重放器后，右键扩展即可使用插件功能

APIS自定义功能

BChecks扫描检查

Extensions settings扩展设置

保持默认即可

Learn学习

点击可跳转至，burp教学视频和burp社区等等