攻防实验,攻击机 win11系统 火狐浏览器 FoxyProxy插件 BurpSuite版本 v2021.5.2
微信公众号雾晓安全发送Burp5.2可以获取
靶机 DVMA
B站UP主不怕雨淋的视频及资料

一、BurpSuite安装

  1. 安装前的JAVA环境配置
  2. 安装BurpSuite

1.安装前的JAVA环境配置

https://blog.csdn.net/nky00000/article/details/119327499

参照了这位博主的jdk的下载和环境变量配置。
JAVA_HOME的值为jdk安装目录,我的jdk版本是1.18的
在这里入图片描述
在这里插入图片描述
2.安装BurpSuite

https://blog.csdn.net/qq_49422880/article/details/117677060

参考这位博主。

由于jdk版本高于16,需要在BurpSuiteLoader.bat中添加
–illegal-access=permit (我只遇到了这个,但是我添加了三句,大家根据错误提示添加)
–add-opens=java.desktop/javax.swing=ALL-UNNAMED
–add-opens=java.base/java.lang=ALL-UNNAMED
看一下相对位置
在这里插入图片描述

在这里插入图片描述
点击.vbs文件即跳出下图,再点击next后再点击手动(manul)激活
在这里插入图片描述
点击该.jar文件,复制License内容到手动激活第二个框,会跳出第三框内容
在这里插入图片描述
再复制手动激活第三框的内容到.jar的框中,大概是这样可能出错了,当时脑袋走神了,手自己完成的,突然就成功了… 不过我run没成功过,印象比较模糊了已经

二、DVWA搭建

  1. windows安装phpstudy
    链接:https://pan.baidu.com/s/1gcljDxXe65gwxDw_IMqSMg
    提取码:abmo
    不怕雨淋up主分享了1和2的大致流程

  2. PHP,Apache环境中部署DVMA
    解压后的文件夹要放入phpstudy安装地址处的WWW文件夹里,我将phpstudy和DVMAmaster的名字也改成对应的phpstudy_pro和DVMA了
    在这里插入图片描述
    在这里插入图片描述
    除了Apache要开启,MySQL也要开启,否则后期不能成功创建数据库

https://blog.csdn.net/Tractor2/article/details/121058530?ops_request_misc=&request_id=&biz_id=102&utm_term=%E6%90%AD%E5%BB%BAdvwa%E6%98%BE%E7%A4%BA%E6%8A%A5%E9%94%99403&utm_medium=distribute.pc_search_result.none-task-blog-2 all sobaiduweb~default-0-121058530.142 v11 pc_search_result_control_group,157 v13 control&spm=1018.2226.3001.4187

参照这位博主,可以解决403

排查配置文件中数据库账号和密码是否正确,(注意:config.inc.php中设置的 D V W A [ d b u s e r ] _DVWA[ ‘db_password’ ] 与自己在Phpstudy数据库中设置的用户名及密码要保持相同。)

phpstudy数据库用户名和密码均为root 修改配置文件也都修改成root

三、使用surp抓包

  1. 在火狐浏览器上安装FoxyProxy插件可以更快捷切换浏览器代理模式

https://blog.csdn.net/Bul1et/article/details/89470104

工具-扩展与主题-FoxyProxy-下载搜索结果第一个

在这里插入图片描述
在DVWA中输入用户名密码未提交前关闭代理,随后开启代理提交数据,burp即可完成抓包。如何爆破在不怕雨淋的视频里也有详细教程。

Burp Suite是一个用于测试网络应用程序安全性的图形化工具,如进行HTTP网站流量抓取、数据重放、表单爆破等。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版(只有基本功能)、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。 DVWA (Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAP 外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bqlgbVfO-1676981539812)(C:\Users\leidong\AppData\Roaming\Typora\typora-user-images\image-20230221200743202.png)]先配置Burp_Suite的proxy配置,设置端口web的监听8080,再配置web转发。参考readme破解,每次启动都要从序列破解器启动。和Burp_Suite版本对应,太高无法启动。 burpsuite 简介 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 安装 配置 java环境 因为 burpsuite 是在JAVA环境下运行的,所以首先应该配置好JAVA环境; 安装 jdk-8u201- windows - 其中,http是协议类型,www.jfedu.net是域名,端口没写,http默认就是80端口,访问的路径文件是newindex/plus/list.php,传递的参数是tid=2,jfedu表示信息片断;1.首先确定 安装 什么系统的虚拟机,以我为例,我 安装 的kali系统的虚拟机,所以需要先把kali的有关插件 安装 在电脑上,再去VM官网下载VM虚拟机,有关于 安装 的细节可以看csdn一些其他博主,有详细的教程。(这里是火狐的包) (我也不知道什么原因没有抓到百度的包)下面法三是百度的包。 配套Java环境:jdk_8.0.1310. 11 _64 问题一:brupsuite与Java环境的适配问题 1️⃣ 如果你要装 burpsuite _pro_v2020.8汉化版,就需要指定使用