BurpSuite破解版 v2.1 PRO漢化版《整合密鑰》

軟件介紹

BurpSuite破解版是一款專業的Web應用安全測試集成平臺，內含大量的安全工具和全面的接口適配，方便用戶對Web應用程序進行完整的全面測試，即時發現程序的漏洞，便于修復，是廣大Web安全人員們日常工作中的必備神器。

BurpSuite新版功能

1、全新的爬蟲工具，能夠自動處理會話、檢測應用程序狀態的變化、抓取多次登錄信息和不穩定的內容。

2、全新的掃描引擎, 支持自動會話處理、多層次掃描、增強的存儲輸入檢測、聚合整個網站的被動問題、有效處理頻繁出現的配置插入點以及流暢地處理應用程序錯誤。

3、全新的動態JavaScript分析器，可顯著改善對基于DOM的漏洞的檢測。

4、全新改版的儀表板工具，提供全面的監控信息聚合與分析。

5、全新的掃描啟動器，支持實現多個并行掃描。

6、全新的實時掃描功能。

7、通過中心化的任務執行引擎大幅改進系統資源管理功能。

8、全新的配置庫，用于存儲有效配置信息。

9、全新的REST API，用于集成其他工具。

10、全新的渲染器，表現和主流瀏覽器一致。

BurpSuite工具箱介紹

【Proxy】

一個攔截HTTP/S的代理服務器，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數據流。

【Spider】

一個應用智能感應的網絡爬蟲，它能完整的枚舉應用程序的內容和功能。

【Scanner】

一個高級的工具，執行后，它能自動地發現web 應用程序的安全漏洞。

【Intruder】

一個定制的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數據，以及使用fuzzing 技術探測常規漏洞。

【Repeater】

一個靠手動操作來補發單獨的HTTP 請求，并分析應用程序響應的工具。

【Sequencer】

一個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。

【Decoder】

一個進行手動執行或對應用程序數據者智能解碼編碼的工具。

【Comparer】

是一個實用的工具，通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。

BurpSuite綜合介紹

學習Proxy

首先看標紅，intercept is on 為攔截狀態  其對應的intercept is off 為非攔截狀態,設置完代理后打開攔截狀態，瀏覽器發起的請求會被burpsuite所攔截

forward: 進行請求后被攔截，點擊forward可以繼續此次請求，如果你點擊drop則丟棄此請求數據。繼續請求后能夠看到返回結果

可以在消息分析選項卡查看這次請求的所有內容

1、Raw 這個視圖主要顯示web請求的raw格式，包含請求地址， http協議版本， 主機頭， 瀏覽器信息，accept可接受的內容類型，字符集，編碼方式，cookies等,  可以手動修改這些內容，然后在點擊forward進行滲透測試

2、params 這個視圖主要是顯示客戶端請求的參數信息，get或者post的參數，cookies參數，也可以修改

3、headers是頭部信息和Raw其實差不多，展示更直觀

4、Hex 這個視圖顯示Raw的二進制內容

注意： 默認情況下，BurpProxy只攔截請求的消息，普通的文件如css,js,圖片是不會攔截的，當然，想攔截什么都可以設置,我們現在知道了怎么設置代理，怎么安裝，怎么進行請求攔截，怎么修改請求發起的內容向服務端進行滲透，接下來我們學習一下怎么控制這些攔截

上圖為http history 所有攔截的歷史均會被記錄起來

Burp Proxy的攔截功能主要由Intercept選項卡中的Forward、Drop、Interception is on/off、Action構成，它們的功能分別是： Forward的功能是當你查看過消息或者重新編輯過消息之后，點擊此按鈕，將發送消息至服務器端。 Drop的功能是你想丟失當前攔截的消息，不再forward到服務器端。Interception is on表示攔截功能打開，攔截所有通過Burp Proxy的請求數據；Interception is off表示攔截功能關閉，不再攔截通過Burp Proxy的所有請求數據。 Action的功能是除了將當前請求的消息傳遞到Spider、Scanner、Repeater、Intruder、Sequencer、Decoder、Comparer組件外，還可以做一些請求消息的修改，如改變GET或者POST請求方式、改變請求body的編碼，同時也可以改變請求消息的攔截設置，如不再攔截此主機的消息、不再攔截此IP地址的消息、不再攔截此種文件類型的消息、不再攔截此目錄的消息，也可以指定針對此消息攔截它的服務器端返回消息。                   

BurpSuite使用教程

以使用火狐瀏覽器來配合burp使用為例子

1、設置瀏覽器

工具-選項-網絡設置-設置，將連接設置改為手動代理配置

輸入127.0.0.1:8080，點擊回車，進入burp證書下載頁面

點擊右上角，下載證書

在選項里搜索證書，點擊【查看證書】

點擊【導入】，導入剛剛下載的burp證書，這樣就可以使用burp抓取https請求了

這時候計算機上的火狐瀏覽器也設置為了代理模式。代理設置成功之后，訪問網頁是訪問不了的，因為我們沒有將請求轉發，接下來就需要配置burp來轉發瀏覽器的請求。

2、配置burp監聽端口

然后打開burp

在監聽的端口設置與代理的端口相同

3、抓包

將burp設置為Intercept is on，在火狐瀏覽器里輸入baike.baidu.com

將Intercept is on設置為Intercept is off

4、截包

這時候就需要打開攔截功能了

之前在抓包的時候可以看到，百度搜索一次要發送很多個請求，這個時候停留在第一個請求上面，這時候，如果不聽地點擊forward的話，就會一直發送接下來的請求。如果不停點擊drop，就會把這些請求的包一個個丟掉。

5、改包

比如水果網http://www.guo68.com/搜索水果：pingguo（搜索中文的時候抓的包是亂碼，不利觀察）

一直點擊forward，并且查看params選項，直到參數的內容中出現pingguo

這時候把pingguo改成putao，繼續點擊forward或者關閉攔截功能。

便會搜索putao了。

BurpSuite安裝教程

1、首先在本頁面下載BurpSuite破解版文件包，然后使用壓縮軟件解壓文件

2、右鍵“burp-loader-keygen-2.jar”以Java(TM) Platform SE binary的方式打開keygen

3、修改License Text為任意值

4、點擊run啟動burpsuite

5、如果上述方式沒有成功啟動burpsuite，打開cmd，進入burp-loader-keygen.jar所在目錄，執行命令：java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar

6、打開burpsuite成功

7、將Keygen中License復制粘貼到burpsuite中

8、點擊Next

9、然后點擊Manual activation

10、點擊Copy request

11、點擊Copy request，復制完成之后，將字符串粘貼到keygen的Activation Request框里，然后Activation Response框里就有了結果，如下

12、復制完后，將字符串粘貼到BurpSuite剩下的那個框里，如圖，再點擊Next顯示激活成功

13、再點擊Next顯示激活成功

14、然后點擊Next

15、再點擊Start Burp

16、burpsuite主界面

17、激活之后，不能通過雙擊BurpSuite主程序來啟動，否則啟動之后還是需要輸入key，兩個文件必須放在一個目錄下，啟動方式有兩種

1.通過 keygen 上的 run 按鈕來啟動

2.在文件目錄下執行java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.31.jar來啟動.為了方便，可以將命令保存為一個bat