burpsuite 拦截响应怎么修改http响应的信息

来源:蜘蛛抓取(WebSpider) 时间:2016-09-07 05:30 标签: burpsuite 响应
使用Burpsuite对手机抓包的配置 - 7777777line - 博客园
随笔 - 17, 文章 - 0, 评论 - 0, 引用 - 0
&&& 之前使用dSploit的时候就一直在想怎么对手机进行抓包分析,前两天使用了Burpsuite神器,发现通过简单的配置就可以抓手机app的数据包了,进而分析手机app的流量。
&&& 配置环境:
&&&&&&& 1.win7下安装了Burpsuite_v1.6
&&&&&&& 2.普通Android手机
  让Android手机和PC连入同一个网段的wifi,即在同一个无线局域网环境下。
step2  查看PC的IP地址,cmd输入ipconfig命令
  可以看到PC的IP地址为192.168.1.188
  打开Burpsuite,设置Proxy Listener(Proxy-&Option-&Proxy Listener)
  点击"Add"按钮,设置新的代理监听器,地址就填刚刚看到PC端的IP地址,在这里是192.168.1.188(根据实际情况有所不同),端口填8080
  接下来设置手机端。打开wifi设置,修改所连入wifi的网络设置,代理服务器设置为手动,接着输入&Proxy主机名称&和&代理服务器端口&,这两项就是在Burpsuite里新增加监听器的IP地址和端口,即192.168.1.188和8080.确定之后,配置就成功啦。
  最后就是使用Burpsuite抓包的事了~~新手教程:如何使用Burpsuite抓取手机APP的HTTPS数据
时间: 12:52:40
分类 : 黑客技术
1.所需条件
· 手机已经获取root权限
· 手机已经成功安装xposed框架
· 电脑一台
2.详细步骤
2.1 在手机上面安装xposed JustTrustMe
JustTrustMe是一个去掉https证书校验的xposed hook插件,去掉之后就可以抓取做了证书校验的app的数据包。JustTrustMe在github的地址位:&
安装好模块之后勾选JustTrustMe模块,然后重启手机
2.2 配置burpsuite
打开burpsuite,切换到Proxy,然后切换到下面的Options选项,然后点击add,然后配置好端口,ip选择本机的ip地址,然后点击ok添加
将running框勾选上
2.3 导入burpsuite证书
在电脑端使用Firefox浏览器访问设置的代理ip:端口,下载burpsuite证书,比如我上面的ip为192.168.1.105,端口为8080,就访问然后去下载证书
点击CA certificate下载burpsuite的证书,保存证书文件
进入Firefox的设置里面,选择高级,然后选择证书,点击查看证书
然后选择服务器,点击导入,导入刚刚下载的cacert.der证书,导入之后会多一个PortSwigger的证书,选中它,然后点击导出,选择X.509证书,然后重新命名导出,这里之所以要这样导出证书,是因为手机上面识别不了burpsuite默认导出的证书格式,要转换一下。
导出之后,将证书放到手机的sd卡中,然后进入手机设置,安全,从sd卡安装,然后选择放到手机的证书文件,如果手机没有设置锁屏密码,这里会要求设置手机锁屏密码。不同的手机导入略微有些不同,但是都是在设置,安全设置里面去导入证书。
点击从sd卡安装就可以选择sd卡中的证书文件,然后安装了。
2.4 在手机上配置代理服务器
进入手机设置,WLAN,将手机和wifi连接到同一个路由器上面,然后设置wifi,有些手机是长按当前连接的wifi进行设置,有些是点击向右的箭头进行设置,这里两中都说一下
进入设置,点击wlan,然后长按当前连接的wifi,选择修改网络,滑到最下面,勾选显示高级选项,然后选择代理设置为手动代理服务器主机名字填电脑ip,端口填你刚刚设置的端口。然后确定,就设置成功了。
进入设置,wlan,点击当前连接的wifi最右边的向右详情图标,打开编辑当前连接的wifi,然后将代理设置选择为手动,主机名填电脑ip地址,端口填刚刚在burpsuite里面设置的地址,然后点击确定保存,就设置成功了。
设置好之后便可以抓取https的数据包了,带证书校验的也可以正常抓取,如果不装JustTrusMe插件,就不能抓带证书校验的app的https数据包。
使用burpsuite抓取https的教程到这里就结束了。
* 本文原创作者:smartdoneBurp Suite应用分享之Web漏洞扫描
&随着Web2.0时代的来临,后又推向Web3.0,Web安全开 始备受瞩目,对于白帽来说,测试时使用的工具越方便、全面、迅速越好。下面推荐一个工具Burp Suite,其功能包括HTTP包的截获及修改,扫描,网站爬行,爆破,注入检测等功能。下面就讲解一下Burp Suite的用法(大牛绕过)
Burp suite&是利用本地代理结果所传送的数据包,运行之前需要安装JAVA环境,当然网上转来转去的天花乱坠的教程很多,可是有用的地方很少,而有些人还在网上去卖这些工具的使用教程,实在无法忍受。
关于Burp suite&我准备分别对数据包截获修改,网站扫描,网站爆破,注入检测做分开讲解。&
本次就来说一下Burp suite强悍的扫描功能。
首先,来设置下代理
此端口可以随意设置,不影响其他通信就OK
接着,我们用本地浏览器通过此代理进行网络访问。
这样&Bruf&就可以截获网页数据包了
浏览下baidu试试效果,如下图
可见,所有通过百度的数据包都已经被截获了,而且在截获的过程中爬行了相关域名下路径,可以再截获数据包的时候进行改包和发送,forward或者drop,这个就先不说了,此次重点是扫描,点击scanner可以看到下面有四个选项,结果,扫描队列,存活的扫描线程和选项
不用理会我那个红色的proxy,那是其他网页传输数据就会提示,在active scanning中可以随自己的想法来设置,在选项中可以设置你想要去扫描的类型
【声明】:黑吧安全网()登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱,我们会在最短的时间内进行处理。
上一篇:【】【】留下脚印,证明你来过。 由于近期工作比较忙,导致博客更新速度奇慢,希望大家不要介意,我会抽时间更新一些文章,希望大家喜欢。
本站文章部分为网络收集整理,若侵犯了您的版权请告知!
成功因为坚持,失败因为放弃!
日志总数:442 篇评论总数:1697 个标签数量:503 个链接总数:32 个建站日期:运行天数:2952最后更新:帐号密码
支持博客发展,爷来打赏你!(微信)广而告之
最新文章随机文章热门文章
留言光荣榜最新评论

我要回帖

更多关于 burpsuite 响应 的文章

 

随机推荐