Burp Suite详解

3.2.1 Burp Suite的安装

Burp Suite是一款集成化的渗透测试工具，包含了很多功能，可以帮助我们高 效地完成对Web 应用程序的渗透测试和攻击。

Burp Suite由Java语言编写，基于Java自身的跨平台性，使这款软件学习和

使用起来更方便。Burp Suite不像其他自动化测试工具，它需要手工配置一些参数，触 发一些自动化流程，然后才会开始工作。

Burp Suite可执行程序是Java文件类型的jar文件，免费版可以从官网下载。

免费版的Burp Suite会有许多限制，无法使用很多高级工具，如果想使用更多的高级功 能，需要付费购买专业版。专业版与免费版的主要区别有以下三点。

● Burp Scanner。

●工作空间的保存和恢复。

●拓展工具，如Target Analyzer、Content Discovery和Task Scheduler。

Burp Suite是用Java语言开发的，运行时依赖JRE, 需要安装Java环境才可以

运行。用百度搜索JDK, 选择安装包然后下载即可，打开安装包后单击“下一步”按钮 进行安装(安装路径可以自己更改或者采用默认路径)。提示安装完成后，打开cmd,   输入java-version 进行查看，若返回版本信息则说明已经正确安装，如图3-18所示。

图3-18返回版本信息

接下来配置环境变量，右击“计算机”,接着单击“属性”→ “高级系统设 置”→ “环境变量”,然后新建系统变量，在弹出框的“变量名”处输

入“JAVA_HOME”,  在“变量值”处输入JDK 的安装路径，如“C:\Program Files (x86)Vava\jdk1.8.0    _112”, 然后单击“确定”按钮。

在“系统变量”中找到PATH变量，在“变量值”的最前面加

上“%JAVA_HOME%\bin;”,   然后单击“确定”按钮。

在“系统变量”中找到CLASSPATH 变量，若不存在则新建这个变量，在“变 量值”的最前面加上“;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib

\toolsjar;”,       然后单击“确定”按钮。

打开cmd, 输入javac, 若返回帮助信息，如图3-19所示，说明已经正确配置 了环境变量。

图3-19输入javac

下载好的Burp无须安装，直接双击BurpLoaderjar文件即可运行，如图3-20 所示。

图3-20运行Burp

3.2.2 Burp Suite入门

Burp Suite代理工具是以拦截代理的方式，拦截所有通过代理的网络流量，如

客户端的请求数据、服务器端的返回信息等。Burp   Suite主要拦截HTTP和HTTPS协议 的流量，通过拦截， Burp Suite以中间人的方式对客户端的请求数据、服务端的返回信 息做各种处理，以达到安全测试的目的。

在日常工作中，最常用的Web 客户端就是Web 浏览器，我们可以通过设置代  理信息，拦截Web 浏览器的流量，并对经过Burp Suite代理的流量数据进行处理。 Burp Suite运行后，Burp Proxy默认本地代理端口为8080,如图3-21所示。

图3-21 查看默认的代理端口

这里以Firefox浏览器为例，单击浏览器右上角“打开菜单”,依次单击“选

项”→ “常规”→ “网络代理”→ “设置”→ “手动配置代理”,如图3-22所示，设 置HTTP代理为127.0.0.1,端口为8080,与Burp Proxy中的代理一致。

127.0.0.1

为所有协议使用相同代理(S)

SSL 代理：

ETP 代理：

SOCKS  主机：

SOCKS y5

不使用代理：(N)

端口：(P)

端 口 ：(Q)

端口  (R)

端口：D

8080

0

例如：mozillaorg,netnz,192.168.1.0/24

自动代理配置(PAC):

确 定       取 消      帮助(H)

图3-22设置浏览器的代理信息

1.Proxy

Burp  Proxy是利用Burp开展测试流程的核心，通过代理模式，可以让我们拦 截、查看、修改所有在客户端与服务端之间传输的数据。

Burp Proxy的拦截功能主要由Intercept选项卡中的Forward、Drop、 Interception is on/off和Action构成，它们的功能如下所示。

●Forward 表示将拦截的数据包或修改后的数据包发送至服务器端。

● Drop表示丢弃当前拦截的数据包。

·Interception is on表示开启拦截功能，单击后变为Interception is off,表 示关闭拦截功能。

●单击Action按钮，可以将数据包进一步发送到Spider、Scanner、

Repeater、Intruder等功能组件做进一步的测试，同时也包含改变数据包请求方式及

其body 的编码等功能。

打开浏览器，输入需要访问的URL并按回车键，这时将看到数据流量经过

Burp  Proxy并暂停，直到单击Forward 按钮，才会继续传输下去。如果单击了Drop 按 钮，这次通过的数据将丢失，不再继续处理。

当Burp   Suite拦截的客户端和服务器交互之后，我们可以在Burp    Suite的消息

分析选项中查看这次请求的实体内容、消息头、请求参数等信息。Burp 有四种消息类 型显示数据包：Raw、  Params 、Headers 和Hex。

●Raw 主要显示Web 请求的raw 格式，以纯文本的形式显示数据包，包含请求

地址、HTTP 协议版本、主机头、浏览器信息、Accept 可接受的内容类型、字符集、编 码方式、cookie等，可以通过手动修改这些信息，对服务器端进行渗透测试。

●Params   主要显示客户端请求的参数信息，包括GET或 者POST请求的参数、 cookie参数。可以通过修改这些请求参数完成对服务器端的渗透测试。

●Headers   中显示的是数据包中的头信息，以名称、值的形式显示数据包。

●Hex 对应的是Raw中信息的二进制内容，可以通过Hex编辑器对请求的内容 进行修改，在进行00截断时非常好用，如图3-23所示。

  s                         43t

②

aH

cm4

HBLHI***FFC       PEBHAI*KmiH

dh

h

C

ay  eke

图3-23 Proxy的界面

2.Spider

Spider的蜘蛛爬行功能可以帮助我们了解系统的结构，其中Spider爬取到的内

容将在Target中展示，如图3-24所示，界面左侧为一个主机和目录树，选择具体某一个 分支即可查看对应的请求与响应。

empth            tiem

Paras      Sms       Lenyn

r

ar    k*y/

*a*

CBT/HTTP/1 1

Bost:baike,baidi.con

User-Agent:Merilla/5.0   Windows   NT    6.1.W0WS1:tv:19.01    Gecke/20100101

Firefea/19 0

Aecept:tert/htal,application/zhtal+al.spplication/ml:q=0.9,N/s:q=0.8

Accept-Lmpuapei                   zh-CR,th;e0.8,m-05:r0.5,m;F0.1

Accept-tneoding:trip,definte,br

Ceokiet

800SS=11W/tWESyZVRARIAxa25+USweERYTAF2b:ZLRuM:BTVIFmZFLIaCOpZQIFNUFEJCQAA AAAAAAFAAABTIPTAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAANAAAAAAAAAAAAA AMMNNAAMMNMAItH-1*LFTE

EAIDUID=7B53FEEFZF6DOFIICAZCIACFZBCR898S1F=1

BTDUPS1D=4D1D6234A210266D10ABDDDE12ZDSF1A.PSE147973772.lacales th

BFS_FSS1D=1122,21095_20592_21155_21108_21419,21553_21370_21526_21190.21399; RONCVFREfeWj1Vr5uD]=16;a6TjBwTt0:PSMD=?

图3-24 Spider界面

3.Decoder

Decoder 的功能比较简单，它是Burp 中自带的编码解码及散列转换的工具， 能对原始数据进行各种编码格式和散列的转换。

Decoder的界面如图3-25所示。输入域显示的是需要编码/解码的原始数据， 此处可以直接填写或粘贴，也可以通过其他Burp工具上下文菜单中的“Send to

Decoder”   选项发送过来；输出域显示的是对输入域中原始数据进行编码/解码的结

果。无论是输入域还是输出域都支持文本和Hex 这两种格式，编码解码选项由解码选项 (Decode  as)、编码选项(Encode   as)、散列 (Hash) 构成。在实际使用时，可

以根据场景的需要进行设置。

图3-25 Decoder 的界面

对编码解码选项而言，目前支持URL、HTML、Base64、ASCII、  十六进制、

八进制、二进制和GZIP共八种形式的格式转换， Hash 散列支持SHA、SHA -224、

SHA-256 、SHA-384 、SHA-512 、MD2 、MD5格式的转换。更重要的是，对同一个 数据，我们可以在Decoder 界面进行多次编码、解码的转换。

3.2.3 Burp  Suite进阶

∩

3.2.3.1 Scanner

Burp Scanner主要用于自动检测Web系统的各种漏洞。本小节介绍Burp Scanner的基本使用方法，在实际使用中可能会有所改变，但大体环节如下。

首先，确认Burp Suite正常启动并完成浏览器代理的配置。然后进入Burp

Proxy, 关闭代理拦截功能，快速浏览需要扫描的域或URL模块，此时在默认情况下， Burp   Scanner会扫描通过代理服务的请求，并对请求的消息进行分析来辨别是否存在 系统漏洞。而且当我们打开Burp Target时，也会在站点地图中显示请求的URL树。

我们随便找一个网站进行测试，选择Burp Target的站点地图选项下的链接，

在其链接URL 上右击选择“Actively scan this host”,此时会弹出过滤设置，保持默 认选项即可扫描整个域，如图3-26所示。

opbhueesd?h.tmenhsethesue …

raar  mosg  sat  unt  tes  hieng  Css  mage  and  geees  teay  ost  hang  4w#      *hg  gy hon

auss

Pansey  ten  na  he

cmean      sh      e

tod  w

pue hae

Cm       a   at

Cgy ua  e  iha  seu

twe     eat     tms

maun

ew(Vae) ns e  s=

w

T

am( -mk)ekuu(se)

e?

w*u

图3-26选择扫描

也可以在Proxy下的HTTP history中，选择某个节点上的链接URL并右击选择 Do an active scan进行扫描，如图3-27所示。

这时，Burp Scanner开始扫描，在Scanner界面下双击即可看到扫描结果， 如图3-28所示。

图3-27主动扫描

Tee

图3-28查看扫描结果

我们也可以在扫描结果中选中需要进行分析的部分，将其发送到repeater模块 中进行模拟提交分析和验证，如图3-29所示。

图3-29发送到repeater模块

当scanner扫描完成后，可以右击Burp Target站点地图选项下的链接，依次 选择“issues”→ “Report issues”选项，然后导出漏洞报告，如图3-30所示。

Bp   nrwer   Rreeser   Wndos   Hee

nhude                                                                                       ueet eptes

wdng nottbund tams;hdng CSs,mapeasd gners beary com tt   hdng  tox  resganses,ndng  mpty  toeen

wsead       desa

Coment

memte=

e

Hex

元

unhridgegrsup,eos

rusge!

elese

Send to Rrpeeer

Sand te Seemcer

Seed te Compse

Rnont  n  trewie

tsgsgemer    tos

Corpare ste nags

Deie  tam

Capy URL

Cagy as cut caemad

Save tan

Ves

Shew new ste sap wnos

Se  map  ee

图 3 - 3 0 导 出 漏 洞 报 告

然后将漏洞报告以html文件格式保存，结果如图3-31所示。

C      //C/Aoo/1Nmt

Burp  Scanner  Report

Summary

he tesi sidit;d ts isngs u a  isdt;teme

Cmnfldae

tuut

Searlg

eh    lm

Bade

|0

fn      

图3-31扫描结果

通过以上操作步骤我们可以学习到： Burp Scanner主要有主动扫描和被动扫 描两种扫描方式。

1.主动扫描 (Active Scanning)

当使用主动扫描模式时，Burp会向应用发送新的请求并通过Payload验证漏

洞。这种模式下的操作会产生大量的请求和应答数据，直接影响服务端的性能，通常用 于非生产环境。主动扫描适用于以下这两类漏洞。

●客户端的漏洞，如XSS、HTTP 头注入、操作重定向。

●服务端的漏洞，如SQL注入、命令行注入、文件遍历。

对第一类漏洞，Burp在检测时会提交input域，然后根据应答的数据进行解

析。在检测过程中，Burp会对基础的请求信息进行修改，即根据漏洞的特征对参数进  行修改，模拟人的行为，以达到检测漏洞的目的；对第二类漏洞，以SQL 注入为例，服 务端有可能返回数据库错误提示信息，也有可能什么都不反馈。 Burp在检测过程中会

采用各个技术验证漏洞是否存在，例如诱导时间延迟、强制修改Boolean值、与模糊测

试的结果进行比较，以提高漏洞扫描报告的准确性。

2.被动扫描 (Passive Scanning)

当使用被动扫描模式时，Burp不会重新发送新的请求，只是对已经存在的请

求和应答进行分析，对服务端的检测来说，这比较安全，通常适用于生产环境的检测。 一般来说，下列漏洞在被动模式中容易被检测出来。

●提交的密码为未加密的明文。

●不安全的cookie的属性，例如缺少HttpOnly和安全标志。 ●cookie的范围缺失。

●跨域脚本包含和站点引用泄露。

●表单值自动填充，尤其是密码。 ●SSL保护的内容缓存。

●目录列表。

●提交密码后应答延迟。

●session令牌的不安全传输。

●敏感信息泄露，例如内部IP地址、电子邮件地址、堆栈跟踪等信息泄露。

●不安全的ViewState的配置。

●错误或不规范的Content-Type指令。

虽然被动扫描模式相比主动模式有很多不足，但同时也具有主动模式不具备的

优点。除了对服务端的检测比较安全，当某种业务场景的测试每次都会破坏业务场景的 某方面功能时，可以使用被动扫描模式验证是否存在漏洞，以减少测试的风险。

3.2.3.2 Intruder

Intruder是一个定制的高度可配置的工具，可以对Web 应用程序进行自动化攻

击，如通过标识符枚举用户名、ID和账户号码，模糊测试，SQL注入，跨站，目录遍历 等。

它的工作原理是Intruder在原始请求数据的基础上，通过修改各种请求参数获

取不同的请求应答。在每一次请求中，Intruder通常会携带一个或多个有效攻击载荷

(Payload), 在不同的位置进行攻击重放，通过应答数据的比对分析获得需要的特征 数据。Burp  Intruder通常被应用于以下场景。

●标识符枚举。Web 应用程序经常使用标识符引用用户、账户、资产等数据信 息。例如，用户名、文件ID和账户号码。

●提取有用的数据。在某些场景下，不是简单地识别有效标识符，而是通过简

单标识符提取其他数据。例如，通过用户的个人空间ID获取所有用户在其个人空间的名

字和年龄。

●模糊测试。很多输入型的漏洞(如SQL 注入、跨站点脚本和文件路径遍历)

可以通过请求参数提交各种测试字符串，并分析错误消息和其他异常情况，来对应用程

序进行检测。受限于应用程序的大小和复杂性，手动执行这个测试是一个耗时且烦琐的

过程，因此可以设置Payload, 通过Burp Intruder自动化地对Web 应用程序进行模糊

面符演示利用intruaer模块原取无验址构和状数P限制的网站的方法，如图

3-32所示，这里使用方法只是为了实验，读者不要将其用于其他非法用途。前提是你 得有比较好的字典，我们准备好的字典如图3-33所示。需要注意的是， Burp Suite的

件个委在中

b 安 全 攻 防 ： 渗 透 测 试 实 战 指 南

tools▶

新建文件夹

修改日期          类型

2017/2/20下午2.… 文件夹

2017/6/5下午6:56  文件夹

2017/6/5下午6:36 文件夹

2017/6/4下午12.… 文件夹

2017/6/13下午3.… 文件夹

2017/6/26下午1…  HTML  文档

2012/6/20上午1… 文本文档

2012/6/20上午1  文本文档

2)

Mac'(Z:

图3-33字典

首先将数据包发送到intruder模块，如图3-34所示。

图3 - 34抓包发送到intruder  模 块

Burp 会自动对某些参数进行标记，这里先清除所有标记，如图3-35所示。

=

L

-

图3 - 35清除标记

然后选择要进行暴力破解的参数值，将pass参数选中，单击“Add$”按钮，

这里只对一个参数进行暴力破解，所以攻击类型使用sniper即可，如图3-36所示。这里 要注意的是，如果要同时对用户名和密码进行破解，可以同时选中user和pass参数，

并且选择交叉式cluster bomb模式进行暴力破解。

●Sniper模式使用单一的Payload组。它会针对每个位置设置Payload。这种

攻击类型适用于对常见漏洞中的请求参数单独进行Fuzzing测试的情景。攻击中的请求 总数应该是position数量和Payload数量的乘积。

● Battering ram模式使用单一的Payload组。它会重复Payload并一次性把

所有相同的Payload放入指定的位置中。这种攻击适用于需要在请求中把相同的输入放 到多个位置的情景。请求的总数是Payload组中Payload的总数。

●Pitchfork 模式使用多个Payload组。攻击会同步迭代所有的Payload组，把

Payload 放入每个定义的位置中。这种攻击类型非常适合在不同位置中需要插入不同但 相似输入的情况。请求的数量应该是最小的Payload组中的Payload数量。

●Cluster  bomb模式会使用多个Payload组。每个定义的位置中有不同的

Payload组。攻击会迭代每个Payload组，每种Payload组合都会被测试一遍。这种攻 击适用于在位置中需要不同且不相关或者未知输入攻击的情景。攻击请求的总数是各  Payload组中Payload数量的乘积。

图3-36选中pass参数

下面选择要添加的字典，如图3-37所示。

Burp   Suite   Profesional   v17.11-Temporary    Prejet-icensed    to    Larry.Lsu

Burp  htrder  Repealtr  Wn&ew  Hep

Target     Puny  Spder      Scanner      ntruder     Rapeater     Sequencer      Decoder      Comparer    Bxtender     Proesct optens     User aptens     Alers

2

Target    Postons     ]Pytas    0pten

② Paylond Ses

You can ce tne ane or mere paytead sets.The number of payoad ses depends on the atacs tyoe defned in the Postons tat.Varous payead tyoes are ava

?    Payload Options Runtime fie]

Tha payoad type lets you canfgure a fe fren slealantpayGadsrngs atruatme

Selec  te          C  toghlgasswerd  r

② Payload         Processing

Yeu ean defhe rues to pertarm vareus procesingtasls an each payead befoe t a used

Add         Enabied            Rue

tat

Remove

up

图3-37选中字典

然后开始爆破并等待爆破结束，如图3-38所示。

图3-38开始爆破

这里对Status或Length 的返回值进行排序，查看是否有不同之处。如果有，

查看返回包是否显示为登录成功，如果返回的数据包中有明显的登录成功的信息，则说 明已经破解成功，如图3-39所示。

Regut      Reet                        Sahs                                    L                             Cengent

T                         nedne recues

Q45%*

G*5%

2121

2121

@*W6

Ssecure$

SSRV

AMJ

ogun

Q*s%*8

图3-39查看length 的返回值

3.2.3.3        Repeater

Burp Repeater是一个手动修改、补发个别HTTP 请求，并分析它们的响应的

工具。它最大的用途就是能和其他Burp Suite工具结合起来使用。可以将目标站点地

图、Burp Proxy浏览记录、Burp  Intruder的攻击结果，发送到Repeater上，并手动调 整这个请求来对漏洞的探测或攻击进行微调。

Repeater分析选项有4种： Raw、Params、Headers 和Hex。

●Raw:   显示纯文本格式的消息。在文本面板的底部有一个搜索和加亮的功

能，可以用来快速定位需要寻找的字符串，如出错消息。利用搜索栏左边的弹出项，能 控制状况的灵敏度，以及是否使用简单文本或十六进制进行搜索。

●Params:    对于包含参数 (URL查询字符串、cookie 头或者消息体)的请

求 ，Params 选项会把这些参数显示为名字/值的格式，这样就可以简单地对它们进行查

看和修改了 。

●Headers:     将以名字/值的格式显示HTTP的消息头，并且以原始格式显示消

息体。

●  Hex: 允许直接编辑由原始二进制数据组成的消息。

在渗透测试过程中，我们经常使用Repeater进行请求与响应的消息验证分

析，例如修改请求参数、验证输入的漏洞；修改请求参数、验证逻辑越权；从拦截历史 记录中，捕获特征性的请求消息进行请求重放。本节将抓包发送到Repeater,    如图

3-40所示。

图3-40发送到Repeater

在Repeater的操作界面中，左边的Request为请求消息区，右边的Response

为应答消息区，请求消息区显示的是客户端发送的请求消息的详细信息。当我们编辑完 请求消息后，单击“Go”按钮即可发送请求给服务端，如图3-41所示。

pIe

mt             m

  <

下

Caif

s,

c(t)ada-ohas(ua)/mol.iecTA  t   tatuan   n   ttrm

tuit     g              

4

*lslet=lshs

图3-41 发送请求

应答消息区显示的是对对应的请求消息单击 “GO” 按钮后，服务端的反馈消

息。通过修改请求消息的参数来比对分析每次应答消息之间的差异，能更好地帮助我们 分析系统可能存在的漏洞，如图3-42所示。

图3-42应答消息区显示服务端的反馈消息

3.2.3.4 Comparer

Burp    Comparer在Burp    Suite中主要提供一个可视化的差异比对功能，来对 比分析两次数据之间的区别，使用到的场合有：

●枚举用户名的过程中，对比分析登录成功和失败时，服务端反馈结果的区

别。

●使用Intruder进行攻击时，对于不同的服务端响应，可以很快分析出两次响 应的区别在哪里。

●进行SQL 注入的盲注测试时，比较两次响应消息的差异，判断响应结果与注 入条件的关联关系。

使用Comparer 时有两个步骤，先是数据加载，如图3-43所示，然后是差异分 析，如图3-44所示。

Intruder attack  1

Atacs Save Clms

Taret  Postens  Payosds     0utens

7780 et 168870

②

Camment

205

285

285

205

285

205

285

285

205

285

285

▶

b.6,image/vbp,*/*iπ=0.@

ORTNL,Like                        Gacko)Chrome/45.0.2623.21

▶

deg-tlov-itn.

0m

图 3 - 4 3 数 据 加 载

图3-44差异分析

Comparer 数据加载的常用方式如下所示。

●从其他Burp工具通过上下文菜单转发过来。

●直接粘贴。

●从文件里加载。

加载完毕后，如果选择两次不同的请求或应答消息，则下发的比较按钮将被激 活，此时可以选择文本比较或字节比较。

3.2.3.5 Sequencer

Burp Sequencer是一种用于分析数据样本随机性质量的工具。可以用它测试 应用程序的会话令牌 (Session token)、密码重置令牌是否可预测等场景，通过 Sequencer 的数据样本分析，能很好地降低这些关键数据被伪造的风险。

Burp Sequencer主要由信息截取 (Live    Capture)、手动加载 (Manual

Load) 和选项分析 (Analysis Options)三个模块组成。

在截取信息后，单击Load按钮加载信息，然后单击 “Analyze now” 按钮进 行分析，如图3-45所示。