BurpSuite 1.4.07 详细使用指南：安装、配置与渗透测试实战

1. 安装与启动

• 下载burpsuite-1.4.07.jar链接：https://pan.quark.cn/s/09cc261a04d0

• 运行：需已安装 Java 环境（JDK 6/7/8），命令行执行：

  java -jar burpsuite-1.4.07.jar

---

2. 配置浏览器代理

1. 设置代理：

   • 地址: 127.0.0.1 或 localhost

   • 端口: 8080（默认）。

   • 浏览器插件（可选）：如 Firefox 的 FoxyProxy 或 Chrome 的 SwitchyOmega。

2. 忽略 HTTPS 证书警告：

   • 访问 http://burp 下载 Burp 的 CA 证书，导入浏览器信任库。

---

3. 基础模块使用

Proxy（代理拦截）

• 拦截请求：

  • 打开 Proxy → Intercept，点击 Intercept is on 开启拦截。

  • 浏览器访问目标网站，请求会暂停在 Burp 中，可修改后 Forward 或 Drop。

• 历史记录：Proxy → HTTP history 查看所有请求。

Target（目标管理）

• 添加目标：在 Target → Site map 中右键添加域名或手动输入。

• Scope 设置：定义测试范围（如 *.example.com）。

Scanner（扫描器，仅Pro版）

• 右键目标 → Actively scan 启动主动扫描（旧版功能可能有限）。

Spider（爬虫）

• 右键目标 → Spider this host 爬取网站目录。

Repeater（重放）

• 从 Proxy/History 右键请求 → Send to Repeater，手动修改并重复发送。

Intruder（爆破）

1. 发送请求到 Intruder。

2. 设置攻击类型（如 Sniper、Cluster bomb）。

3. 标记变量（§ 包围），加载字典（Payloads）。

4. 开始攻击，分析结果。

Decoder（编码/解码）

• 输入字符串，选择编码（Base64、URL、Hex 等）进行转换。

---

4. 移动端/APP 抓包

1. 手机配置：

   • Wi-Fi 代理设置为电脑 IP + 端口 8080。

   • 安装 Burp CA 证书（需手机信任）。

2. 抓包：APP 流量会显示在 Proxy 历史记录中。