一、封神台七

1、认识burp

浏览器和相关应用程序的中间拦截、修改、重放数据包的代理工具

2、功能

1、拦截本机8080端口的数据

2、要想实现抓包还要配置浏览器网络

1. 浏览器选项->设置
   

2. 搜索代理，找到网络设置
   

3. 选中手动配置代理，ip与port与burp配置
   

4. 记得用完要设置会原来配置

   

3、burp字体设置

第一个设置 控制Burp用户界面的外观
第二个设置 控制HTTP消息在原始HTTP中的显示方式

4、尝试抓包/改包（支付）

1. 打开靶场网站，发现一个购买页面，我们用之前的方法，先配置网络。点击加入购物车
   

2. burp发现抓到的数据，右键发送到repeater中用于进行修改数据调试
   

3. 经过我们9*9次尝试，发现qty=物品数量，price=物品价格，这里我们修改价格为5.400，然后点击go
   

4. 查看购物车订单价格，居然为5.4，最好还是不要提交订单
   

5、尝试抓包改包（暴力破解）

1. 扫描出网站后台，尝试输入用户名，密码，然后抓包
   

2. 把抓到的数据，发送到intruder，进行密码猜解
   

3. 首先清除默认选中的$
   

4. 选中用户名，密码，点击add添加编辑点，选中Attack type 为 第四个Cluster bomb 集束炸弹
   

5. 给账号密码分别导入字典，点击右侧start attack
   

6. 发现不同寻常的length，尝试账号密码，后台输入验证成功