当前位置:首页 > 默认文章 > 【记录】Burp的简易实战

【记录】Burp的简易实战

思远2年前 (2020-12-27)默认文章1570

这期咱们得实战下【掌控安全的靶场】,话不多说,咱们开始!!。

按照惯例,我们要先看看他的网站是什么类型,好助于渗透。
1.JPG 
是个大米cms,卖商品的网站模板。
咱们先来注册个账号看看
3.JPG 
接着登录一下
4.JPG 
这个地方就不抓包了,没啥用,先不急找后台,反正是练习(如果一下找到后台那没法玩了)
偷偷地告诉你,这里有文件上传漏洞,是个PHP网站,放个PHP图片马就OK了
附,可通过图片马.JPG 

这都不是重点,先看看商品(它是个卖商品的网站,当然要尊重一下啦)
分支1价格.JPG
我去,那么贵??现在..........你们知道的,抓包改包
先开开代理,等会给你们解释,放图
2.JPG 

必须把代理搞成这样子burp才收得到。
咱们开开burp
9.JPG

点一下购物车,我们来看看抓到包了吗
fz3.JPG 
OK,抓到了一个,来对比一哈
fz4.JPG 
有发现!!对应着的,我们来改改嘿嘿

fz5.JPG 
改成了0.06¥(仅仅这次对你生效)
结算页面看看
fz6.JPG 
真的是哦!(实际中不要结算,会被(你懂得)这里也不能结算)
干正事
使用我的御剑大法扫到了个后台,地址admin.php
6.JPG 
试试弱口令,双admin
7.JPG 
灰常正常!

这可是要我们抓包的8.JPG 
来,打开burp
 
登录!!!
10.JPG
OK,咱们看到明文呈现,可以进行爆破!!
组合键Ctrl+l,burp会有个地方亮,点他
 11.JPG
按图走
12.JPG 
有些绿色背景的东东,点击clear清除
13.JPG 
把我们要进行爆破的地方双击,它变黄后,点击add
 14.JPG 
我们要爆破username和password,所以两个都这样
把他选项改到第4个
16.JPG 
点到payload子目录(这是爆破准备页面)
17.JPG 
点击load选择字典(这是zkaq的靶场,所以我专门写了个)
18.JPG 
看到他已经预览了,选择第二个
19.JPG 
一样步骤,然后点击右上角star attack
20.JPG 
21.JPG 
看到他已经开始了
22.JPG结果看看
只有第一个是302  487
23.JPG

应该就是了,点击它,下面出现一个包

24.JPG

复制过去(当然也可以单个替换,把值复过去)
25.JPG 
放包!!!
26.JPG 
进来了!!!找找flag
 
欧克欧克,此任务完成


总结
这一靶场主要想让我们学的知识是用burp抓包,改包,爆破................,注意不抓包时把代理关了

     您阅读本篇文章共花了: 

    扫描二维码推送至手机访问。

    版权声明:本文由勤奋的思远发布,如需转载请注明出处。

    如果文章对你有帮助的话就赞助一下吧https://lsybk.xyz/donation.html

    本文链接:https://lsybk.xyz/post/BPC.html

    标签: 渗透测试
    分享给朋友:

    相关文章

    友情链接-My Friends

    友情链接-My Friends

    全站链接(附在侧边栏及下方) 梦之国  杜老师说 wpbkj博客  叶开楗博客  AMENG 青柠博客 大白熊博客  土土博客 黄衣哥的惊人博客 青阳...

    友情赞助

    友情赞助

    寄语:本着学习与记录技术的初心,我在初一时搭建了这个博客,支出负担重。如果您觉得本站的内容对您有所帮助,能打赏一下博主嘛,thanks!一切都是为了能够更好的运营和维护本站,现支持三种赞助方式(QQ,...

    添加游客投稿功能

    添加游客投稿功能

    大家好,网站现在支持游客投稿,大家可以发布一些文章投稿地址:https://lsybk.xyz/?apost_free 文章需要审核,后台通过后即可,谢谢大家投稿的作用:@允许资源分享1.添加友链将更...

    游客投稿须知

    游客投稿须知

    游客投稿地址:https://lsybk.xyz/?apost_free文章需要审核,后台通过后即可,谢谢大家游客投稿须知:1.发表的帖子正能量,不当言论会被无情删除2.不允许恶意打广告3.发表的帖子...

    【教程】赞助平台的建成步骤

    【教程】赞助平台的建成步骤

    前言大家看到这篇文章的人应该都知道,现在上线了这个赞助平台,简称“要饭网”那这个是如何建成的呢?幸好作业不多,我弄了一晚上其实之前搞过一个,但是跟这个版本不一样,用的是爱支付接口,玩了一下,手续费太多...

    【教程】几个给服务器的上传文件的方法

    【教程】几个给服务器的上传文件的方法

    本文章阅读量较大前言这篇文章我耗资有点多。。不过没关系的哈,你们看懂就好,为新手答疑解惑哈(重新搭了个环境。。)我把我即将到期的阿里云给续费了。。linux系统(centos7等)FTP(File T...

    发表评论

    访客

    看不清,换一张

    ◎欢迎参与讨论,请在这里发表您的看法和观点。