大雀软件园

首页 软件下载 安卓市场 苹果市场 电脑游戏 安卓游戏 文章资讯 驱动下载
技术开发 网页设计 图形图象 数据库 网络媒体 网络安全 站长CLUB 操作系统 媒体动画 安卓相关
当前位置: 首页 -> 网络软件 -> 网页辅助 -> Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版

Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版

免费软件
  • 软件大小:190M
  • 软件语言:简体中文
  • 更新时间: 2021-12-24
  • 软件类型:国产软件
  • 运行环境:win系统
  • 软件等级 :
大雀下载地址
banner1
  • 介绍说明
  • 下载地址
  • 相关推荐
burpsuitepro破解版是一款功能强大的渗透测试工具,是一款免费的网站攻击工具。burpsuitepro破解版拥有等多个工具模块,它可以通过拦截HTTP/HTTPS的web数据包,专业人士就可以对网站进行拦截、修改、重放数据包进行测试等操作。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图1)

【软件介绍】

Burp Suite Pro是来自过来的一款功能强大的渗透测试工具。它是一个用于攻击web 应用程序的集成平台,包含了许多工具,如Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer等工具模块,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,非常适合信息安全从业人员使用。
Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图2)

【软件特色】

1、Target(目标)——显示目标目录结构的的一个功能。
2、Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
3、Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
4、Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。
5、Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
6、Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
7、Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
8、Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
9、Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
10、Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
11、Options(设置)——对Burp Suite的一些设置。

【激活教程】

1. 打开注册机:burp-loader-keygen.jar,然后点击run,license text 随便填,然后将生成的license 复制粘贴到打开的burp里,点击next
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图3)
2. 点击manual activation 手动激活
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图4)
3. 将request 粘贴到activation request ,将自动生成response,再粘贴到burp里最下面的response中,点击下一步
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图5)
4. 激活成功,看到这里应该就不用多说了
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图6)

【Burp Suite功能按钮键翻译对照】

BurpBurpSuitesave state wizard保存状态向导
restore state恢复状态   Remember setting记住设置
restore defaults恢复默认   Intruder入侵者
Start attack开始攻击(爆破)  Actively scan defined insertion points定义主动扫描插入点
Repeater中继器   New tab behavior新标签的行为
Automatic payload positions自动负载位置   config predefined payload lists配置预定义的有效载荷清单
Update content-length更新内容长度   unpack gzip/deflate解压gzip/放弃
Follow redirections跟随重定向   process cookies in redirections在重定向过程中的cookies
View视图   Action行为

功能项

Target目标   Proxy代理
Spider蜘蛛   Scanner扫描
Intruder入侵者   Repeater中继器
Sequencer定序器   Decoder解码器
Comparer比较器   Extender扩展
Options设置   Detach分离
Filter过滤器   SiteMap网站地图
Scope范围   Filter by request type通过请求过滤
Intercept拦截   response Modification响应修改
match and replace匹配和替换   ssl pass throughSSL通过
Miscellaneous杂项 spider status蜘蛛状态
crawler settings履带式设置   passive spidering被动蜘蛛
form submission表单提交    application login应用程序登录
spider engine蜘蛛引擎    scan queue扫描队列
live scanning现场扫描   live active scanning现场主动扫描
live passive scanning现场被动扫描    attack insertion points攻击插入点
active scanning optimization主动扫描优化    active scanning areas主动扫描区域
passive scanning areas被动扫描区域    Payload有效载荷
payload processing有效载荷处理   select live capture request选择现场捕获请求
token location within response内响应令牌的位置    live capture options实时捕捉选项
Manual load手动加载   Analyze now现在分析
Platform authentication平台认证   Upstream proxy servers上游代理服务器
Grep Extrack提取

【使用教程】

burpsuite使用教程

Burp 模块介绍

- Target
Target 作为 Burp 的第一个模块,作用是一个站点地图,会在左侧出现所有通过代理服务器的网页都会在此显示。
当访问了https://www.csdn.net/之后,“Target” 功能模块已经将所有访问记录给爬取了下来,并显示在左侧,如图所示。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图7)
当然,如果想使用 Burp 进行测试,首先要修改一下本机浏览器的代理。
下面以火狐为例来讲解 Burp 的基本配置
首先需要在火狐的设置里,找到代理设置,设置为和 Burp 软件一样的 IP,即可。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图8)
需要注意的就是端口号需要和这上面设置的端口号一致,都是 8080
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图9)

Proxy
在 Burp 里,“Proxy” 模块是一个至关重要的模块,他的布局是这样的。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图10)
Proxy 模块里面的 intercept 模块的作用是截断 HTTP/HTTPS 之间的请求流量,如果第三个按钮 “intercept is off”,这里是未开启拦截的意识,如果开启了则会变为 “intercept is on”
现在我们拦截下 CSDN 登陆页面的 HTTPS 流量。
在我输入了账号密码之后,点击了开启拦截,状态变为 “intercept is on”,此时,通过这个 HTTPS 请求下来的流量都会被拦截不发送并且显示在你的 “intercept” 模块下,如图所示。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图11)
去掉多余的参数,在 POST 登陆的实际请求只有这一句
&username=rNma0y&password=147258369&rememberMe=true<=LT-1269028-Xs5rYscId3GAlIBVB6NgisRx6zJCo5&execution=e2s1&_eventId=submit
当拦截开启的时候,整个网页他是无法请求的,因为发送的所有请求都被拦截下来了,如果你想访问下个网页,选择模块里的第一个按钮 “Forward”,这个按钮意味着放行,令他通过请求,发送此数据包。

Drop
Drop 则是丢掉这个包,重新抓取数据。

Action
Action 的功能如下,可以把请求发送到各个模块进行交互。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图12)
HTTP history
这个模块的功能则是这个就是截取包的历史记录,把先前截取的数据包历史停留在这里。

Scan
Scan 这个功能模块的作用则是扫描,一个 Web 应用程序的扫描器,是 Pro 版独有的,社区版则不带有此功能。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图13)
使用方法是在抓包后右键菜单,出现 “Do a active scan”,点击后则会发送到 Burp 的 Scan 模块下,最重要的指示则是会高亮黄色。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图14)
Intruder
Intruder 模块则是整个 Burp 工具里最有用的一块,在暴力破解这方面经常会上手,可以通过增加一个字典来实现自动化的攻击。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图15)
在 Intruder 模块下的 Position 下可以对 HTTP 请求进行操作,可以把 HTTP 请求里的某个单独的参数设置为变量,来进行替换,比如上图所示,标黄的部分即为变量参数。

Attack type
Attack type 里的参数有四种,分别是如下图所示:
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图16)

Sniper
Sniper,就是将你添加的字典里的数值一次赋给我们的多个参数去组合尝试,比如我们设置了有三个参数,分别是 a,b,c,字典里面有五个值(1,2,3,4,5),那么该模式下 Burp 会把 a 去替换成字典里的数值,b、c 保持原值,然后 b 去替换字典里的数值,a、c 保持原值,c 则以此类推。

Battering ram

Battering ram,则是同时将 abc 赋值都用添加的字典去替换尝试。

Pitchfork
Pitchfork 则是需要用户导入三个字典,后依次替换变量。

Cluster bomb

Cluster bomb 也需要用户导入三个字典,但是他会把每个字典里的数值都去给变量测试替换一遍,比如 a 变量,字典一测试了字典二和三也会跟上去替换。

Payload

Payload,作用是导入字典的作用:
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图17)

Simple list
在这个模块下的 Simple list 定义则是最基础的,适合小量数据。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图18)

Brute forcer
Brute forcer 则是单纯的暴力破解,选择这个模块后他会尝试字典的所有内容。

Options
Options 是 Intruder 最后一个模块,他的功能是线程等功能的设置。
Number of chreads,线程量。
Number of retries on network failure ,则是网络故障的重试次数,三次则是重试三次连接。
Pause before retry,重试失败的请求时,Burp 将在重试之前等待失败后的指定时间(以毫秒为单位)。如果服务器被流量淹没,或发生间歇性问题,最好在重试之前等待一段时间,默认值为 2000 毫秒。

Repeater
Repeater 即网页请求头,一般使用这个功能也是通过 Proxy 抓包然后 Send 发送过来的。
主要就是修改请求的各项参数等等然后点击左上角的 go 发送出去,然后在右边接受到请求,同时在右侧显示请求和状态,多作用于的 HTTP 请求的模糊测试。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图19)

Decoder
Decoder 模块是一个方便的编码器,故此不再多叙述。

Comparer

Comparer 模块是一个文件比较的功能,也非常简单,请读者自行了解。

burpsuite使用教程实际操作演示
Burp Suite是一个免费的网站攻击工具。
它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成,需要 JRE 1.4 以上版本
下载该程序的源代码,然后在本地部署以便测试。我本机的IP地址为192.168.8.120,演示程序地址为 http://192.168.8.120/test
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图20)
运行Burp site,点击Proxy标签,确认Options选项卡下,Proxy listeners的running运行正常(勾选状态为运行),如果端口打开失败,可能的原因是有程序占用了该端口,点击edit,在local listener port:输入框输入一个未占用的端口,点击update即可。我这里将端口改为了8082
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图21)
打开http://192.168.8.120/test/upload_flash.asp?formname=myform&editname=bookpic&uppath=bookpic&filelx=jpg,进入上传页面,选择我们的asp木马,然后设置浏览器代理地址为127.0.0.1,端口为8082,点击开始上传,burp suite截获数据包,点击forward按钮,返回结果如图所示。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图22)
到这里所用到的数据包已经成功捕获,切换到history选项卡,右键刚刚捕获的post数据包,选择send to repeater。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图23)
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图24)
更改filepath值”bookpic/”为”bookpic/shell.asp “(asp后有一空格),然后把filename的值”C:\Documents andSettings\Administrator\Desktop\unset.asp”改成”C:\Documents andSettings\Administrator\Desktop\unset.jpg”,Content-Length的值不用更改,程序会在提交请求的时候自动更新该值。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图25)
然后切换到hex选项卡,找到上传路径”bookpic/shell.asp “所处位置,把20改成00,然后点击GO,成功上传aspshell到http://192.168.8.120/test/bookpic/shell.asp。
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图26)
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图27)
Burp Suite Professional(渗透测试工具) v2.0.11 最新免费版(图28)
下载地址
  • PC版
  • 电信高速下载
  • 联通高速下载
  • 广东电信下载
  • 山东电信下载

默认解压密码:www.daque.cn
如需解压,请在本站下载飞压软件进行解压!

本类排名

本类推荐

Copyright © 2019-2021 大雀软件园(www.daque.cn) All Rights Reserved.

<

ody>