BurpSuite 保姆级使用指南

我的BurpSuite食用方法 | 干货

0x1 Burp安装与破解

访问官网直接下载Mac OS的安装版:https://portswigger.net/burp/releases，然后正常安装。

git clone https://github.com/TrojanAZhen/BurpSuitePro-2.1.git

在应用程序中找到burp，显示包内容，依次打开文件夹：Contents - java - app,然后将启动器burp-loader-x-Ai.jar移动到当前的app目录。

接着返回到Contents目录，编辑vmoptions.txt，末尾追加两行内容。

-noverify -javaagent:burp-loader-x-Ai.jar

然后返回打开Burp即可,如果提示需要License,那么直接生成一个注册就行了。

然后点击manual，再粘贴Request和Response来激活就行了。

如果有能力请支持正版。

其实被动和主动，准确定义来说，被动应该是不会主动发包的，不过现在被动也可以理解成，被动获取到URL，然后对URL进行自动扫描。emmm。

profile参考: https://github.com/six2dez/burp-bounty-profiles

0x2.A HaE

下载地址:https://github.com/gh0stkey/HaE

用于高亮特征和定位敏感信息,关于配置文件可以直接使用官方提供的:https://gh0st.cn/HaE/

0x3 Burp 持久化配置

有很多时候，会发现我们重载burp的时候，第三方插件都没有自动启用，还有就是改动过的配置也没有保存。

比如我一般喜欢添加多个监听端口。

这个时候我们可以保存这个配置,然后打开/Users/xq17/.BurpSuite,参考里面的UserConfigPro.json配置然后复制这个配置改名为自己想要的配置文件UserConfigProNew.json，再进行编辑即可。

还有如果我们想重新加载burp的时候，默认启用配置好的插件，可以设置"loaded"属性为true。

然后我们burp重新加载的时候选择这个配置文件加载即可。

这样就可以不用每次都要重新配置一些选项了，这个我也是跟@达浪师傅学到的， orz。

0x4 浏览器代理配置

设置代理我一般采用的是SwitchyOmega,这里有几个默认配置，为了方便挖洞，我们需要更改下。

1.更改切换情景模式的时候默认会自动刷新的问题，要不然切换会丢失我们填写的表单内容。

修改: 选项->界面->其他设置->当更改情景模式时刷新当前标签(x)

2.设置快速切换按钮，一个是启动burp代理,一个是使用设置的系统代理，这样切换直接可以用快捷键option+shift+o进行切换，非常方便。

修改: 选项->界面->切换选项->快速切换

3.设置不代理的地址列表，来防止干扰。

0x5 实践例子

所谓知行合一，为了方便读者理解和检验该工作流的合理性，需要进行实践来佐证。

文章的话还是用靶场的例子比较好，方便复现实操来加深印象。

这里分享一个比较方便、Burp官方提供的一个在线靶场，可以用来测试各种漏洞，可以说非常适合我们平时写扫描器的时候来检验扫描器是否能正常工作。

地址: https://portswigger.net/web-security/dashboard

0x5.1 XSS 漏洞

反射型非DOM类型XSS:

开一个靶场:Reflected XSS into HTML context with nothing encoded

然后我们挂着代理，直接在打开的靶场执行一下搜索。

然后查看burp的issue activity就可以发现漏洞了。

这种反射型XSS非常好挖, 不过国内普遍都是低危，并不值钱, 越大的厂商越多这种洞。

反射型DOM XSS

开一个靶场:DOM XSS in document.write sink using source location.search

依然是挂着代理执行以下search，查看burp history

可以看到，存在sink点会被高亮为红色，查看插件的输出

然后返回头分析一下，很简单就可以发现是一个基于location.search的dom型XSS

目前来说Dom型XSS还是属于比较难实现自动扫描的类型，不过我自己想到了一些方法来测试，后面也会去尝试优化下burp的插件来方便自己的日常使用，欢迎师傅们分享下自己的挖DOM的姿势，据我所知，DOM XSS在SRC中还是被挖的比较多的。

0x5.2 SQL 注入漏洞

SQL注入一般来说属于比较危险的，所以一般都是采用active扫描，况且burp自带的SQL检测payload非常直接容易触发waf，故我一般不开被动去扫SQL注入。不过后面我会考虑深度定制一个辅助检测的插件，欢迎感兴趣的师傅找我一起探讨下。

开一个靶场:SQL injection UNION attack, determining the number of columns returned by the query

然后挂上Burp代理, 捕捉到可疑的请求，选中active scan。

然后回到Dashboard可以查看新开了active scan task.

从Logger可以看到开始进行了主动扫描，这个除了调用burp自带的规则，也会调用我们burp bounty插件定义的一些规则。

这种全量扫描的效率是比较慢的，大概要10来分钟扫描完一个请求，但是可以进行一些设置的优化来加快速度。

Dashoard 还可以修改默认的添加任务时候的行为，比如是否自动启动、启动的并发数。

等待扫描结束，可以查看相关的结果。

可以看到成功扫描到了SQL注入漏洞，Burp的判断方式也是非常不错的，通过简单探测方法，即一个'返回报错,两个''则返回正常，说明对单引号没处理好，可能存在注入，事实上这个参数的确存在注入。

0x5.3 SSRF 漏洞

SSRF一般来说都是可以出网的，特殊情况就需要自己去判断，比如不出网但有回显的，或者不出网没回显的，这些就没办法自己检测，下面来演示下用burp来挖掘出网的SSRF。

开一个靶场:Blind SSRF with out-of-band detection

burp设置好范围后，然后浏览网页，点一个check stock功能来触发burp的被动扫描。

可以看到SSRF-King插件可以成功扫描到到SSRF的漏洞。

0x5.4 文件包含||文件读取

开一个靶场:File path traversal, simple case

配置下Burp的live audit扫描规则, new live task。(这个会自动审计流经burp的流量)

配置扫描的漏洞类型和扫描速率:

插入点的设置优化,用来减少一些无谓的请求。

然后挂上代理浏览网站，等待扫描完成，查看结果就行了。

0x5.5 越权漏洞

这里没有很好的靶场，这里我以某个网站作为例子，这里假设我已经登录两个账户。

账户1:d0mxss11%27%5C222高权限

账户2:hackboy低权限

然后我们获取账户2的cookie，粘贴到Autorize的里面，也可以包括header头，比如有时候有些网站就会用x-token来鉴权而不是使用cookie。

然后可以设置好一些过滤,针对某些断点来请求。

然后我们用高权限账号去访问网站的各个功能。

这个时候我们就可以观察长度和status, 来判断是否存在越权漏洞了, 绿色一般代表是没有问题的。我们也可以浏览和对比3个请求的具体情况。

很明显就可以发现是没存在漏洞的。

0x5.6 Shiro 漏洞

靶场: Google Dork:Powered By JeeSite

然后浏览这些站点,可以适当访问下/a/login目录

首先是hae可以做Shiro的基础识别

然后我们也可以查看BurpShiroPassivescan的扫描效果。

0x5.7 fast****json 漏洞

最近有在研究这个，可以用vulhub来快速搭建。

靶场:

cd $(pwd)/vulhub/fastjson/1.2.47-rce docker-compose up -d

然后我们构造一个post的请求包来触发扫描。

然后我们去查看FastjsonScan的结果。

可以看到是正常工作的。

0x6 总结

我一直很反对炒冷饭写工具使用的文章，没想到自己这次破了例(ORZ，生活所迫，也写的并不好。)，其实每个人都有自己的工作流，我的不一定合适你，可以拿来参考，然后找到最适合自己的配置，希望能给大家带来一点帮助吧。

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！

BurpSuite 保姆级使用指南｜纯干货分享

相关文章