Burpsuite工具的代理抓包功能实验

实验目的

通过本实验理解Burpsuite工具代理抓包功能的配置方法，掌握如何利用Burpsuite工具查看request和response信息，熟悉Burpsuite常见功能的使用方法。

实验环境

Burpsuite软件操作平台

工具：Burpsuite软件、Firefox浏览器

目标网站：upload-labs网站

实验原理

Burpsuite是用于攻击web 应用程序的集成平台，包含了许多工具。Proxy是一个拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。Repeater是一个靠手动操作来补发单独的HTTP 请求，并分析应用程序响应的工具。

实验步骤

第一步 启动Burpsuite

点击“next”后选择启动“Start Burp”

第二步 配置Burpsuite的监听参数

Burpsuite启动后，在“Proxy”-“options”菜单下配置“Proxy Listeners”

（1） 使用Edit菜单进行修改

（2） 有时8080端口会与tomcat等服务的默认端口冲突，自定义为8090，然后点“OK”生效。

（3）同时设置将server端的responses的数据也进行代理抓包，在如下图处打勾。

第三步 配置Firefox的代理功能

（1）打开Firefox浏览器，找到“选项”配置界面，使用“常规”下的“网络代理”进行配置

（2）点击“网络代理”的设置，在如图界面下进行配置，最后点击“确定”。注意此处设置的端口与Burpsuite保持一致。

第四步 正常访问uoload-labs平台

在上传漏洞训练平台虚拟机上按顺序执行下图两步，开启网址

（1）复制桌面上的 upload-labs-env文件夹到D盘根目录

（2）进行启动

（3）先关闭burpuit代理功能，访问upload-labs网站

第五步 启动代理方式访问uoload-labs平台

（1）再开启Burpsuite代理功能，访问upload-labs网站。使用代理抓包成功。

（2）点击右键选择“Send to Repeater”，然后点击“go”可以看到提交到web服务器端的状态与web服务器返回的信息

思考与总结

通过本次实验，成功实现了Burpsuite代理方式如何截获request和response数据包的过程，掌握如何借助Burpsuite结合Web漏洞进行攻击的前期基础知识准备。