当前位置:首页 > 默认文章 > 【记录】Burp的简易实战

【记录】Burp的简易实战

思远1年前 (2020-12-27)默认文章1540

这期咱们得实战下【掌控安全的靶场】,话不多说,咱们开始!!。

按照惯例,我们要先看看他的网站是什么类型,好助于渗透。
 
是个大米cms,卖商品的网站模板。
咱们先来注册个账号看看
 
接着登录一下
 
这个地方就不抓包了,没啥用,先不急找后台,反正是练习(如果一下找到后台那没法玩了)
偷偷地告诉你,这里有文件上传漏洞,是个PHP网站,放个PHP图片马就OK了
 

这都不是重点,先看看商品(它是个卖商品的网站,当然要尊重一下啦)

我去,那么贵??现在..........你们知道的,抓包改包
先开开代理,等会给你们解释,放图
 

必须把代理搞成这样子burp才收得到。
咱们开开burp

点一下购物车,我们来看看抓到包了吗
 
OK,抓到了一个,来对比一哈
 
有发现!!对应着的,我们来改改嘿嘿

 
改成了0.06¥(仅仅这次对你生效)
结算页面看看
 
真的是哦!(实际中不要结算,会被(你懂得)这里也不能结算)
干正事
使用我的御剑大法扫到了个后台,地址admin.php
 
试试弱口令,双admin
 
灰常正常!

这可是要我们抓包的 
来,打开burp
 
登录!!!

OK,咱们看到明文呈现,可以进行爆破!!
组合键Ctrl+l,burp会有个地方亮,点他
 
按图走
 
有些绿色背景的东东,点击clear清除
 
把我们要进行爆破的地方双击,它变黄后,点击add
  
我们要爆破username和password,所以两个都这样
把他选项改到第4个
 
点到payload子目录(这是爆破准备页面)
 
点击load选择字典(这是zkaq的靶场,所以我专门写了个)
 
看到他已经预览了,选择第二个
 
一样步骤,然后点击右上角star attack
 
 
看到他已经开始了
结果看看
只有第一个是302  487

应该就是了,点击它,下面出现一个包

复制过去(当然也可以单个替换,把值复过去)
 
放包!!!
 
进来了!!!找找flag
 
欧克欧克,此任务完成


总结
这一靶场主要想让我们学的知识是用burp抓包,改包,爆破................,注意不抓包时把代理关了

     您阅读本篇文章共花了: 

    扫描二维码推送至手机访问。

    版权声明:本文由勤奋的思远发布,如需转载请注明出处。

    如果文章对你有帮助的话就赞助一下吧https://lsybk.xyz/donation.html

    本文链接:https://lsybk.xyz/post/BPC.html

    标签: 渗透测试
    分享给朋友:

    相关文章

    【笔记】这十二行代码是如何让浏览器爆炸的?(可以整蛊下你的好友)

    【笔记】这十二行代码是如何让浏览器爆炸的?(可以整蛊下你的好友)

    完整HTML代码如下:<html><body><script>var total="";for (var i=0;...

    添加游客投稿功能

    添加游客投稿功能

    大家好,网站现在支持游客投稿,大家可以发布一些文章投稿地址:https://lsybk.xyz/?apost_free 文章需要审核,后台通过后即可,谢谢大家投稿的作用:@允许资源分享1.添加友链将更...

    游客投稿须知

    游客投稿须知

    游客投稿地址:https://lsybk.xyz/?apost_free文章需要审核,后台通过后即可,谢谢大家游客投稿须知:1.发表的帖子正能量,不当言论会被无情删除2.不允许恶意打广告3.发表的帖子...

    GoogleHacking常用语法(转载)

    GoogleHacking常用语法(转载)

    1、intext:(仅针对Google有效) 把网页中的正文内容中的某个字符作为搜索的条件2、intitle:把网页标题中的某个字符作为搜索的条件3、cache:搜索搜索引擎里关于某些内容的缓存,可能...

    sqlmap基本注入手法

    sqlmap基本注入手法

    先说说SQLmapSqlmap 是一个自动化的 SQL 注入工具,其主要功能是扫描、发现并利用给定的 Url 的 Sql 注入漏洞,目前支持 MySQL、 Oracle、 PostgreSQL、 Mi...

    sqlmap各项参数介绍

    sqlmap各项参数介绍

    教程说明学习sqlmap前,建议了解SQL注入实现原理与基本的手工注入操作,更易于理解sqlmap的使用。我的另一个笔记整理:可能是网上最易懂的SQL手工注入教程【个人笔记精华整理】针对sqlmap注...

    发表评论

    访客

    看不清,换一张

    ◎欢迎参与讨论,请在这里发表您的看法和观点。