Brp Suite 介绍 

Burp在手，天下我有  

Burp Suite 是一款用于Web应用程序安全测试的软件应用程序。它由 PortSwigger 开发，

广泛用于安全专业人员、渗透测试员和Web开发人员中，用于识别和利用Web应用程序中的漏洞。

Burp Suite 是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工

地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用 Burp Suite 将使得测试

工作变得更加容易和方便，即使在不需要娴熟的技巧的情况下，只有我们熟悉 Burp Suite 的使

用，也使得渗透测试工作变得轻松和高效。 Burp Suite 是一款强大而多功能的工具，被广泛应用

于Web应用程序安全领域。

Burp分为社区版的和专业版的

BurpSuite的官方网址https://portswigger.net/burp/communitydownload

毕竟官方专业版的需要付出一点money  所以这里我们直接使用pojie

而这个版本内置jre环境，无需安装java即可使用！！！

首先我们需要知道这个软件的运行原理 再考虑其安装和使用

正常情况下（不使用Burp Suite），客户端与服务器的交互过程如下：

通信过程

1.浏览器建立与web服务器之间的连接

2.浏览器将请求数据打包（生成请求数据包）并发送到web服务器

3.web服务器将处理结果打包（生成响应数据包）并发送给浏览器

4.web服务器关闭连接

总结：

建立连接——>发送请求数据包——>返回响应数据包——>关闭连接

当加入Burp Suite时，客户端与服务器的交互过程如下：

Proxy 代理服务器

Requeset 请求数据包

Reponse 相应数据包

代理的出现在接受数据包和发送数据包的时候提供了修改数据包的机会

简单来说bp的基本功能就是拦截修改，再拦截再修改（这是bp的运行原理）

因为 Burp suite 默认监听本地8080端口，所以我们需要把浏览器的流量转发到8080端口

正式安装

Burp分为社区版的和专业版的

BurpSuite的官方网址https://portswigger.net/burp/communitydownload

 

我们这里使用吾爱的一个安装包

我们这里下载好项目压缩包进行解压

解压后里面的文件树 可以看一下

直接运行Start.VBS  （这个就是我们的注册机）

这个页面已经比之前的版本要简明许多了 

这里我们只需要选择汉化即可（后面的以后有需要可以自行选择）

勾选后直接点运行即可唤醒burp（首次激活使用必须按照步骤）

然后等一两秒会出现一个条款如下图（这里默认是勾选上的）

这里不要勾选

• 其一是会占用内存
• 其二是如果有新版本会经常提醒你

取消勾选 点接受就可以

接下来是这个页面  我们需要在里面填写许可证密钥

将注册机里的授权许可（license）点击复制（copy）然后ctrl+v粘贴进burp内

下一个  点击手动激活

随后按照下图步骤将burp第二步给的秘钥粘贴进注册机 并将注册机生成的最后的秘钥粘贴进burp  按照下图步骤进行 然后点击下一个

这里就可以看到激活成功了

点击完成会自动运行burp（如果没运行burp 关闭注册机就会出来了）

tips：后续就不需要在使用注册机了，除非你清除数据！！！

这里我们选择新建临时项目（不会产生一定量的缓存）

这里默认即可（后续如果需要可以自行更改）

这就已经结束了 后续我们可以直接使用两个VBS一键启动burp了

cn是中文版

en是英文版

然后这就是一个汉化之后的bp页面相比英文版的对于新手还是方便了许多

之后直接在应用程序里面启动 BP 就可以了，和官方正版使用毫无差别，优雅永不过时～

设置代理

Proxy(代理模块)

Burp Proxy （代理）是 Burp Suite 以用户驱动测试流程功能的核心，通过代理模式，可以让我们拦

截、查看、修改所有在客户端和服务端之间传输的数据。

Proxy （代理）模块又分为四部分，分别是 Intercept(拦截) ， HTTP history（hhtp历史记录） ， WebSocketshistory（webSockets的历史记录） ， Proxy settings （代理设置）(低版本叫做 Options )。

代理的出现在接受数据包和发送数据包的时候提供了修改数据包的机会

因为 Burp suite 默认监听本地8080端口，所以我们需要把浏览器的流量转发到8080端口，

Burp suite 即可收到，进行相应的操作。

google浏览器推荐使用 Proxy SwitchyOmega 插件

Firefox浏览器推荐使用 FoxyProxy Standard 插件

这里我们以Firefox为例 为什么  因为火狐浏览器 不需要科学上网

Firefox设置代理

我们这里来安装FoxyProxy Standard 插件

浏览器右上角点开三条杠 打开扩展与主题

在这里搜索proxy

这里出现的第一个就是我们的代理插件 我比较喜欢称呼她为小狐狸

我点开  因为我这里已经安装过了 所以这里是移除的案件

然后我们按照步骤添加即可

然后我们点击那个拼图的按键  将插件固定在工具栏上

如下图

然后我们刚刚说需要让他转发到8080端口 所以我们这里需要进行一个设置

我们打开小狐狸  点击选项

这里选择proxies 然后点击添加

按照要求进行一个填写 地址127.0.0.1（回访地址）

端口8080 其他看你个人习惯

需要注意的是： Burp suite 默认是不会抓取 https 的数据包的，要抓取 https 的数据

包需要安装证书。

这时候我们去访问百度发现连接失败就是因为https

安装证书

所以我们需要去安装证书

我们需要去打开BP 把拦截关闭 当然我们这里默认的就是关闭的状态

在浏览器URL地址栏中，访问 http:burp

（访问的时候一定要打开代理，因为我们访问的是burp的服务器）

点击右上角的证书进行下载

下载成功之后我们把它放在我们BP的更目录下 方便我们查找

导入证书

首先我们要把这个代理关掉

点击设置

在设置里面查找证书  出现之后选择查看证书

在证书颁发机构里选择导入

然后选择我们刚刚下载的证书

之后会有个信任的弹窗  这两个信任全部勾选

点击确定 再点击确定

之后重启一下浏览器 我们在访问百度 就发现成功了

然后我们打开bP点击HTTP历史记录  就可以看到火狐发的请求包

这时候我们的burp已经可以正常使用

转自https://blog.csdn.net/m0_68012373/article/details/159125686