文章目录
- 1.介绍
- 1.1 正常客户端与服务端通信&BurpSuite代理后
- 1.2 下载激活参考地址
- 1.3 代理设置
- 1.4 Proxy SwitchyOmega 使用
- 1.4.1 新建情景模式
- 1.4.2 设置代理
- 1.4.2 应用选项
- 1.5 FoxyProxy 使用
- 1.6 安装证书
- 1.6.1 方式一
- 1.6.2 方式二
- 1.6.3 浏览器安装证书
- 1.6.4 或者直接双击证书安装
- 2. burpsuite使用
视频地址
1.介绍
1.1 正常客户端与服务端通信&BurpSuite代理后
1.2 下载激活参考地址
渗透工具–Burp Suite简介、下载和安装
或
靶机、软件搭建:05—Burp Suite工具的安装与使用(Windows环境)
1.3 代理设置
火狐插件网站
- Proxy SwitchyOmega插件
- FoxyProxy插件
1.4 Proxy SwitchyOmega 使用
1.4.1 新建情景模式
1.4.2 设置代理
1.4.2 应用选项
1.5 FoxyProxy 使用
1.6 安装证书
上述设置burpsuite只能抓http包,但无法抓https包,https需要证书才能正常抓取,因为burpsuite不是合法的数字证书认证机构(Certificate authority,即CA),要想抓取https包,就要让burpsuite伪造的公钥证书得到看客户端的验证并信任,所以就需要你在客户端(手机/浏览器)装“证书”了,这个“证书”叫【根证书】,是用来验证客户端得到证书是合法的。
获取证书:两种方法任选一种(推荐第一种,第一种简单)
1.6.1 方式一
打开bp(
burpsuite
),开启浏览器代理,然后访问http://burp
,然后下载
1.6.2 方式二
bp直接导出证书:打开bp,单机proxy
->
options->
import/export CA certificate; 在弹出的对话框中选择Export->
Certificate in DER format,然后点击Next,命名cacert.der
1.6.3 浏览器安装证书
- 浏览器安装证书: 以火狐浏览器为例,打开设置->隐私与安全->证书->查看证书,然后再“证书颁发机构”一栏,选择导入刚才下载的证书
1.6.4 或者直接双击证书安装
选择证书存储为:受信任的根证书颁发机构