Burpsuite活学活用【未通过】

一、靶场:浏览器信息伪造

要求:使用ipone手机,2g网络下查看

image

用Burpsuite抓包:

image

修改User-Agent信息,模拟ipone手机,2g网络状态。

把:Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0 NetType/2G替换掉现有User-Agent的信息。

成功了:

image

总结:知道User-Agent的含义,熟练的模拟信息。

二、靶场:HTTP动作练习

Request-URI Too Long(你觉得url这么长,GET合适么?)

image

用Burpsuite抓包发现get方式过长,选择post提交方式。

image

第一种方法:

第一步:修改GET为POST

第二步:添加Content-Type: application/x-www-form-urlencoded

第二种方法:

image

(1)抓包后点击重发器

image

选择变更请求方式,直接能变成POST请求,点击发送。

成功了:

image

三、靶场:投票系统程序设计缺陷分析

了解修改User-Agent知识,了解X-Forwarded-For知识。

让a2014获得第一

image

开始攻击:抓包,选择按测器

修改 User-Agen:信息,变为微信登陆信息:Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) > AppleWebKit/537.51.2 (KHTML, like Gecko) Mobile/11D257 > MicroMessenger/6.0.1 NetType/WIFI

添加 X-Forwarded-For: 172.16.0.1,模拟ip地址。

给172.16.0.1添加,看图

image

设置攻击ip的方式,有效载荷1,数值型,从1打到400,增量为1。有效载荷2,数值型,从1打到400,增量为1。

image

然后开始攻击:状态码显示200说明攻击的很成功。

成功了:把a2014打到了34160票。闲的没事把a2019也打到了14668票。

  • 通过
  • 未通过

0 投票者

有点水啊 这些都是burp的基础用法 没看到活学活用啊

质量不行 这都想水进90啊 :joy:

1 Like