BurpSuite
在 攻防环境搭建 一章 工具:Burp Suite 中,我们简单使用了 BurpSuite 这款工具,接下来来详细介绍它。
Burp Suite 是渗透测试中最重要的工具。
下载地址:https://portswigger.net/burp
专业版地址,仅供学习使用:https://www.lzskyline.com/index.php/archives/121/
BurpSuite 是一个 jar(Java Archive)包,需要依赖 Java 环境。
打开
下载安装后,BurpSuite 可以通过桌面图标打开,也可以直接命令行打开:
# 进入 BurpSuite 地址
cd /Applications/Burp Suite Community Edition.app/Contents/Resources/app
# 运行
java -jar burpsuite_community.jar
加内存
BurpSuite 默认分配内存是 64M,如果请求太多会导致应用崩溃,可以手动加内存。
# 方式一:以 M 为单位
java -jar -Xmx2048M burpsuite_community.jar
# 方式二:以 G 为单位
java -jar -Xmx2G burpsuite_community.jar
机制和浏览器设置
BurpSuite 和 Xray 机制一样,都是通过中间拦截流量来实现的。
电脑代理
局部代理
在 在攻防环境搭建一章 工具:Burp Suite 中我们已经讲解了局部代理,也就是设置 Firefox 代理将流量转发到 BurpSuite 的 8080 端口,另外我们也可以直接装一个插件去方便切换代理:
添加我们的自定义代理
全局代理
全局代理也就是将本机中所有应用流量转发到 BurpSuite。Windows 系统可参考:Set up Global Proxy Settings for All Windows Applications
这里我们以 Mac 为例: > System Settings > Network > Wi-Fi > Details
接着在 Proxies 中设置我们的全局代理: