渗透攻击测试—BurpSuite

2024年4月1日发(作者：)

渗透攻击测试—

BurpSuite

Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】

渗透攻击测试——Burp Suite

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些

工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理

并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。本

文主要介绍它的以下特点：

1.代理–Burp Suite带有一个代理,通过默认端口8080上运行，使用这个代理，我

们可以截获并修改从客户端到web应用程序的数据包.

(蜘蛛)–Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等，它会自

动提交登陆表单（通过用户自定义输入）的情况下.Burp Suite的蜘蛛可以爬行扫描出

网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。

(扫描器)–它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误

报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确.

(入侵)–此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜

解等.

简要分析

代理工具可以说是Burp Suite测试流程的一个心脏，它可以让你通过浏览器来浏

览应用程序来捕获所有相关信息，并让您轻松地开始进一步行动，在一个典型的测试

中，侦察和分析阶段包括以下任务：

手动映射应用程序-使用浏览器通过BurpSuite代理工作，手动映射应用程序通过

以下链接，提交表单，并通过多步骤的过程加强。这个过程将填充代理的历史和目标站

点地图与所有请求的内容，通过被动蜘蛛将添加到站点地图，可以从应用程序的响应来

推断任何进一步的内容(通过链接、表单等)。也可以请求任何未经请求的站点(在站点

地图中以灰色显示的)，并使用浏览器请求这些。

在必要是执行自动映射-您可以使用BurpSuite自动映射过程中的各种方法。可以

进行自动蜘蛛爬行，要求在站点地图未经请求的站点。请务必在使用这个工具之前，检

查所有的蜘蛛爬行设置。

使用内容查找功能发现，可以让您浏览或蜘蛛爬行可见的内容链接以进一步的操

作。

使用BurpSuite Intruder(入侵者)通过共同文件和目录列表执行自定义的发现，循

环，并确定命中。

注意，在执行任何自动操作之前，可能有必要更新的BurpSuite的配置的各个方

面，诸如目标的范围和会话处理。

分析应用程序的攻击面 - 映射应用程序的过程中填入代理服务器的历史和目标站

点地图与所有的BurpSuite已抓获有关应用程序的信息。这两个库中包含的功能来帮助

您分析它们所包含的信息，并评估受攻击面的应用程序公开。此外，您可以使用

BurpSuite的目标分析器报告的攻击面的程度和不同类型的应用程序使用的URL?。

代理

理功能使我们能够截获并修改请求.为了拦截请求,并对其进行操作，我们必须通过

Burp Suite配置我们的浏览器.

一旦在浏览器上设置好之后，就打开Burp Suite，去Proxy项进行Intercept(截断),

需要确保intercept is on

打开alerts标签,可以看到代理正运行在8080端口.我们可以在Proxy–>options下来

修改这个配置.

打开Proxy下的options标签

在这里我们可以编辑代理正在监听的端口,甚至添加一个新的代理监听.

抓取

Burp Spider用来映射Web应用程序.它会自动抓去Web应用程序的链接,提交它发现的

所有登陆表单,从而详细的分析整个应用程序.这些链接会传递给Burp Scanner,进行详

细的扫描.在这种情况下,我们将使用上DVWA(Damn Vulnerable Web Application).只是

需要DVMA使用你的浏览器，确保Burp Suite上的inerrcept is on,并且得到Brup截

取的请求,右键单击拦截的请求，选择”Send to Spider”发送给蜘蛛.

右键点击 charge request methd 可以改变提交方式

入侵

Burp Intruder可以用于利用漏洞,模糊测试,暴力猜解等。在这里我使用校网网站

做实验。

随便输入username和password,确保Burp Suite上的”intercept is on(监听是

打开的)”.然后点击登陆.

登陆请求将被Burp Suite监听拦截到,然后右键单击”send to intruder(发送给

入侵者功能)”

以上的操作会将请求信息发送给intruder功能.进入intruder标签,配置Burp

Suite来发起暴力猜解的攻击.在target标签下可以看到已经设置好了要请求攻击的目

标。

进入positions(选项)标签,我们可以看到之前发送给Intruder的请求.一些重要

的信息用其它颜色显示.基本上是由Burp Suite进行猜解,是为了弄明白暴力猜解的这

些请求中什么是发生改变的. 这种情况下只有用户和密码是不停的发生改变.我们需要

相应的配置Burp.

单击右边的”clear”按钮,将会删除所有用不同颜色演示的重要的信息.接下来我

们需要配置Burp在这次攻击中只把用户名和密码做为参数.选中本次请求中的

username(本例中用户名是指”infosecinstiture”)然后单击”Add(添加)”.同样的将

本次请求中的password也添加进去.这样操作之后,用户名和密码将会成为第一个和第

二个参数.一旦你操作完成,输出的样子应该如下图所示:

接下来我们需要设置这次攻击的攻击类型,默认情况下的攻击类型是”Sniper(狙击

手)”,在本例中，我们将使用”Cluster Bomb(集束炸弹)”的攻击类型.有四种攻击类

型，分别是singer,battering ram,pitchfork,cluster bomb.下图中我们看到的我们的

攻击类型是”Cluster Bomb’

进入payload标签,确保”payload set”的值是1,点击”load(加载)”加载一个

包含用户名的文件 。本例中我们使用一个很小的文件来进行演示.加载之后用户名文件

中的用户名会如下图所示

同样设置”payload set”的值为2,点击”load”加载一个密码字典文件。

进入”options”标签,确保results下的”store requests”和”store

responses”已经选择.

点击左上角的”Intruder”开始攻击,会看到弹出一个windows窗口,其中有我们制

作好的所有请求。

我们如何确定哪一个登陆请求是成功的呢？通过一个成功的请求相比不成功的，是

有一个不同的响应状态.在这种情况下,我们看到的用户名”admin”和密

码”password”的响应长度相比其它的请求，有所不同.

根据不同的响应请求，点击”request”.如果点击”response”选项,我们看到正

确的登陆页面,这意味着这次请求中使用的username/password是正确的.