burp suite 使用教程(上传突破利器)

《burp suite 使用教程(上传突破利器)》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、BurpSuite是一个免费的网站攻击工具。它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成，需要JRE1.4以上版本下载该程序的源代码，然后在本地部署以便测试。我本机的IP地址为192.168.8.120，演示程序地址为http://192.168.8.120/test运行Burpsite,点击Proxy标签，确认Options选项卡下，Proxylisteners的running运行正常（勾选状态为运行），如果端口打开失败，可能的原因是有程序占用了该端口，点击edit，在locallistenerport:输

2、入框输入一个未占用的端口，点击update即可。我这里将端口改为了8082打开http://192.168.8.120/test/upload_flash.asp?formname=myform&editname=bookpic&uppath=bookpic&filelx=jpg，进入上传页面，选择我们的asp木马，然后设置浏览器代理地址为127.0.0.1，端口为8082，点击开始上传，burpsuite截获数据包，点击forward按钮，返回结果如图3所示。到这里所用到的数据包已经成功捕获，切换到history选项卡，右键刚刚捕获的post数据包，选择sen

3、dtorepeater。图4，5更改filepath值”bookpic/”为”bookpic/shell.asp“(asp后有一空格)，然后把filename的值”C:DocumentsandSettingsAdministratorDesktopunset.asp”改成”C:DocumentsandSettingsAdministratorDesktopunset.jpg”，Content-Length的值不用更改，程序会在提交请求的时候自动更新该值。图6然后切换到hex选项卡，找到上传路径”bookpic/shell.asp“所处位置，把20

4、改成00，然后点击GO，成功上传aspshell到http://192.168.8.120/test/bookpic/shell.asp。图789PS：文中演示程序找不到的话可以利用Google搜索关键字inurl:filelx=jpg搜索出来的上传地址一样可以利用burpsuite需要安装Java环境才可以运行，JDK6官方下载地址:http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exebur

5、psuite_pro_v1.3.03破解版免费下载：http://u.115.com/file/e6yeojob