Burp Suite 代理设置
(本笔记主要用于自己回忆哈哈)
下面介绍摘自维基百科对 Burp Suite 介绍。
Burp或Burp Suite(饱嗝套装)是一个用于测试网络应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。
但我认为 Burp Suite 就是 Web应用程序渗透测试集成平台。他能够将整个测试流程(例如:攻击分析-寻找漏洞-利用漏洞等)进行紧密连接一起工作。而对于 CTF-Web 来说 Burp Suite 就是结合手工和自动技术帮助我们分析、攻击 Web 应用程序,从而获取 Flag 。
安装
该软件一共有三种版本:社区版(Community Edition)、专业版(Professional)、商业版(Enterprise Edition)。其中我们常用的是社区版和”免费的 or 破解的”专业版。为了支持正版我们还是下载免费的社区版就可以啦。
Burp Suite 社区版:其中选择你需要的版本即可。
配置代理
以下操作皆以 Chrome 为例,其他浏览器大同小异哈。
配置代理服务器
这里我首先推荐一个插件 SwitchyOmega(需要科学上网才能安装),由于现在 Chrome 直接依赖你的系统代理,使用这个可以减少修改系统代理的操作。这里我们只需要“新建情景模式”,设置名称为 BurpSuite(可随意命名),并且添加 HTTP 代理即可,如下图:
以后在使用 Burp Suite 时只需要调整为设置的“ BurpSuite ”即可。如果不使用时,可以选择”系统代理“或者“直接连接”。
证书安装
我们配置完成后,还需要安装对应的 Burp Suite 的证书,以便获取授权从而在访问 HTTPS 页面时列为受信任。
安装证书也很简单,这里我使用的是 Windows + Chrome ,因此这里我介绍我的方法。
- 首先开启 Burp Suite 并将 SwitchyOmega 切换到对应模式。
- 接着我们访问 http://localhost:8080/ (或 http://127.0.0.1:8080/) ,并点击图中按钮下载证书。
- 由于 Chrome ( win ) 依赖于系统证书,因此我们直接双击下载的
cacert.der
并安装到“受信任的根证书颁发机构”。
到此我们就可以使用 Burp Suite 了。
双重代理
有时候我们需要科学上网的同时使用 Burp Suite,这时候就需要使用双重代理。
我们只需要在 Burp Suite --> User options --> Upstream Proxy Servers 添加如下内容:
# 以 clash 代理为例 |
到此便完成了所有的代理工作,便可以开始我们的测试和 CTF-Web 学习了。
此外这里还有官方配置文档,包括配置浏览器、安装 CA 证书等。