BurpSuite2021.5.1汉化下载 带许可证密钥版

BurpSuite2021.5.1是一款操作简单、功能强大的安全监测工具，这款软件已经经过处理过了，相关用户在这里可以非常轻松的进行各种专业的渗透测试操作，这样就能够很好的帮助用户进行持久性、认证、代理等方面内容的处理操作，能够很好的提升了相关用户的工作学习效率。

BurpSuite2021.5.1汉化是一款非常好用的多功能渗透测试工具，这款软件能够为用户提供Scanner、Intruder、Repeater等一系列专业工具模块，相关用户在这里可以进行拦截、修改、重放数据包等一系列测试操作，很好的为相关安全工作人员带来极大的帮助。

BurpSuite2021.5.1功能特色

1、Target(目标)——显示目标目录结构的的一个功能。

2、Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。

3、Spider(蜘蛛)——应用智能感应的网络爬虫，它能完整的枚举应用程序的内容和功能。

4、Scanner(扫描器)——高级工具，执行后，它能自动地发现web 应用程序的安全漏洞。

5、Intruder(入侵)——一个定制的高度可配置的工具，对web应用程序进行自动化攻击，如：枚举标识符，收集有用的数据，以及使用fuzzing 技术探测常规漏洞。

6、Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具。

7、Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

8、Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。

9、Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

10、Extender(扩展)——可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。

11、Options(设置)——对Burp Suite的一些设置。

BurpSuite2021.5.1抓包教程

一.配置浏览器（以火狐为例）

1.打开菜单，找到选项，点击

翻到最下面

点击设置，将配置的代理服务器改为手动代理配置，HTTP代理设为127.0.0.1,端口设置为8080（为了burpsuite能截到浏览器发送出来的请求），点击确定。

二.burpsuite的设置

点击proxy

选择Options

观察图中的IP地址及端口，如果不是127.0.0.1:8080，则点击add，添加端口和IP地址

三.开始抓包

点击proxy-intercept,将intercept is on 改为intercept is off

打开浏览器，假设我们要进入u校园官网

点击intercept is off,将其改为intercept is on

点击U校园，发现不能进入

点开burpsuite,这就是我们抓的包

BurpSuite2021.5.1爆破密码

以tomcat为例，首先大家可以先想一想，tomcat后台在提交认证信息时，数据是以何种方式传输，是明文嘛？还是某种加密？还是编码？具体的认证请求包如下所示：

这边的Authorization字段就是用来做身份认证的，使用的是HTTP Basic认证，用户认证信息就是后面那一串，把他复制到BurpSuite的Decoder模块，使用Base64解码即可获取用户认证信息明文。那么之前的问题也有答案了，tomcat使用base64编码进行认证信息传输，使用的是HTTP Basic认证方式。

知道用户认证信息提交方式之后，我们可以把抓到的包发送到Intruder中进行爆破准备，但是有一点问题，我们在爆破目标测试系统的账户的时候，账号和密码往往是分离的，那这样其实兜了好几圈，不太好直接爆破。当然有人觉得可以用脚本先拼接所有格用户名和密码再进行编码组成一个新的字典，不是不行，但是这破坏了原有的单纯的密码字典的内容，使这个密码字典变成了只有tomcat可以用，而且每次有新的密码字典和用户名字典想要加入时，都必须经过处理，这样其实就事倍功半了。

Burpsuite的intruder模块其实包含了很多复杂密码的变异方式。知道了tomcat的密码格式，我们下拉intruder模块中的payload标签页的payload type：

选择custome iterator，就可以进行我们的自定义拼接，position的位置就是我们的拼接方式，那么根据tomcat密码的格式，我们可以很轻松的联想出如何进行拼接，第一位（position1）密码：

第二位（position2）密码：

第三位（position3）密码：

拼接完成后，还需要进行编码。在burpsuite中，对字典进行加密或编码处理，在payload标签页中的payload processing进行，当然首要你要清楚你的进行什么样的处理，到底是加密还是编码：

选择完成后，就是这样：

再记得把请求包特殊符号编码去掉=号（因为base64编码大概率会有=）

这样确认之后，直接start attack即可。

可以尝试再decoder中解密这个字符串：

这篇文章只是拿tomcat的特殊密码格式举例，burpsuite里还有很多其他格式，需要大家自己去多去联系，孰能生效，才能事半功倍。

BurpSuite2021.5.1安装教程

安装JDK

因为BurpSuite需要在Java环境下运行，所以安装BurpSuite之前需要配置好Java环境。直接百度搜索jdk，到官网下载JDK包。小编下载的是jdk1.8 64位的版本

双击打开JDK包，一直下一步即可。安装完成后，配置环境变量。

新增环境变量，命名为“JAVA_HOME”,变量值填写java安装路径，如：D:\Program Files\Java\jdk1.8.0_144

新增环境变量，命名为“CLASSPATH”,变量值填写：%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar

在Path变量的变量值中加上： ;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin

Java环境配置完成

安装BurpSuite

百度下载BurpSuite压缩包，解压后会看到两个文件，一个安装文件，一个密钥

首先，双击打开burp-loader-keygen.jar文件，复制Lisence中的内容，然后点击“Run”，出现弹框2，继续点击“I Accept”后，将Lisence中的内容粘贴到编辑框中，然后点击“Next”

点击“Manual activation”，复制弹框2中的第二栏内容，回到弹框1，粘贴到第二栏处；接着，复制出现的第三栏的内容，将其粘贴到弹框2的第三栏，完成

BurpSuite2021.5.1常见问题

无法抓取本地或局域网其他主机的包

去掉“对于本地地址不使用代理服务器”的选项。

清空箭头所指的内容，点确定

无法抓取HTTPS的包

打开burpsuite后在浏览器中输入:127.0.0.1:8080

点击"CA Certificate"下载证书。

打开浏览器中的设置，找到"管理证书"。

点到"受信任的根证书颁发机构"。

最后导入即可。

SQL注入测试时出现500错误，但是在浏览器中是正常的

在URL上的空格等进行URL编码

经过burpsuite无法上网，取消代理就正常

二级代理忘记关了...........

burpsuite 2020.x 光标输入点和光标不一致

找到java的安装路径的bin目录下的java.exe，右键属性----兼容性