Burp Suite 实战使用指南Web 安全测试的瑞士军刀——从安装配置到常用功能的实操教程每个功能都有可复现的步骤。目录一、Burp Suite 是什么二、安装与环境配置三、核心工作流总览四、Proxy代理拦截五、Repeater重放器六、Intruder入侵者七、Decoder编解码器八、Comparer比较器九、Target目标站点地图十、Scanner扫描器— 专业版十一、BApp Store 扩展插件十二、实战技巧与注意事项十三、速查表一、Burp Suite 是什么Burp Suite 是 PortSwigger 公司开发的 Web 应用安全测试平台是渗透测试人员的标配工具。它的核心能力很简单拦截浏览器与服务器之间所有的 HTTP/HTTPS 请求和响应让你查看、修改、重放、自动化攻击。社区版 vs 专业版功能社区版免费专业版付费Proxy 拦截✅✅Repeater 重放✅✅Intruder 入侵者⚠️ 限速降速模式✅ 无限制Decoder 编解码✅✅Comparer 比较✅✅Scanner 扫描器❌✅被动扫描❌✅项目文件保存❌✅协作/云端❌✅新手建议社区版足够学习所有核心操作。Intruder 限速只是慢一点不影响学习。Scanner 是专业版最大卖点但初学阶段手动测试能力比自动扫描更重要。二、安装与环境配置1. JDK 环境准备Burp Suite 基于 Java需要 JDK 17# macOSbrewinstallopenjdk17# Linux (Debian/Ubuntu)sudoaptinstall-yopenjdk-17-jdk# 验证java-version# 应输出 openjdk version 17.x.x 或更高2. 下载与启动# Kali Linux — 已预装直接启动burpsuite# 其他系统 — 从官网下载# https://portswigger.net/burp/communitydownload# 命令行启动指定内存java-jar-Xmx2048mburpsuite_community.jar 建议至少分配 2GB 内存-Xmx2048m处理大流量时不会卡顿。3. 浏览器代理配置Burp 默认监听127.0.0.1:8080。需要让浏览器流量走这个代理Firefox FoxyProxy推荐安装 FoxyProxy Standard 扩展点击 FoxyProxy 图标 → 选项 → 添加代理IP127.0.0.1端口8080协议HTTP使用时切换到该代理即可Chrome / Edge SwitchyOmega安装 SwitchyOmega 扩展新建情景模式 → 代理服务器代理协议HTTP地址127.0.0.1端口8080使用时切换情景模式4. HTTPS 证书安装不装证书浏览 HTTPS 站点时会收到证书警告部分请求无法正常拦截浏览器代理设好后访问http://burp点击右上角“CA Certificate”下载证书文件Firefox设置 → 隐私与安全 → 查看证书 → 导入 → 选择下载的证书 → 勾选信任此 CA 以标识网站Chrome/Edge双击证书文件 → 安装 → 存储位置选当前用户 → 放入受信任的根证书颁发机构5. 常见坑与排查问题原因解决浏览器提示连接不安全CA 证书未安装或未信任重新导入证书确认勾选标识网站代理设了但 Burp 没收到请求浏览器有其他代理/VPN 冲突关闭 VPN 或检查系统代理设置Burp 启动后浏览器无法上网Burp 没在运行或监听地址不对确认 Proxy → Proxy settings 里监听127.0.0.1:8080拦截 HTTPS 但内容是乱码可能忘记安装 CA 证书按上面步骤重新安装三、核心工作流总览一次典型的 Burp Suite 渗透流程浏览目标网站 → Proxy 拦截所有请求 ↓ 发现可疑参数 → 发送到 Repeater手动测试 ↓ 确认漏洞存在 → 发送到 Intruder自动化攻击/批量验证 ↓ 需要编解码 → Decoder 处理 ↓ 对比响应差异 → Comparer 分析 ↓ 整理发现 → 写报告核心思路Proxy 是入口Repeater 是主力Intruder 是放大器。四、Proxy代理拦截Proxy 是 Burp 最核心的功能——所有流量都从这里经过。Intercept is on / offIntercept is on每个请求都会被拦截停在你面前等你决定Forward 放行 / Drop 丢弃Intercept is off请求自动放行但仍记录在 HTTP History 里日常使用建议大部分时间保持Intercept is off让流量自动流过并记录。只有在需要修改特定请求时才临时打开拦截。这样既不会被打断浏览又不丢失任何请求记录。拦截请求并修改打开Intercept is on在浏览器中执行操作如提交表单Burp 拦截到请求在 Intercept 面板中显示原始请求直接修改请求内容如修改 POST 参数usernameadmin→usernameadmin点击Forward放行HTTP HistoryIntercept is off时所有请求都记录在 HTTP History 标签页过滤点击 Filter → 勾选/取消 MIME type、状态码、文件扩展名等搜索在搜索框输入关键词支持正则排序点击列标题按 Host / Path / Status / Length 排序快速操作右键请求 → Send to Repeater / Send to Intruder / Send to Decoder实操拦截 DVWA 登录请求启动 DVWA 靶场docker run -d -p 80:80 vulnerables/web-dvwa浏览器代理指向 Burp打开Intercept is on在 DVWA 登录页面输入admin / password点击 LoginBurp 拦截到 POST 请求可以看到usernameadminpasswordpasswordLoginLogin修改password参数为password点击 Forward观察 DVWA 返回 SQL 报错——说明存在 SQL 注入点五、Repeater重放器Repeater 是手动测试漏洞的主力工具——你可以反复修改请求并查看响应逐一手动验证每个假设。基本操作从 Proxy / Intruder 中右键 →Send to Repeater快捷键CtrlR切换到 Repeater 标签页选中对应请求标签修改请求参数点击Send发送查看右侧响应面板实操1手动测试 SQL 注入# 原始请求参数 usernameadminpasswordpassword # 测试1加单引号观察报错 usernameadminpasswordpassword → 如果返回 SQL 报错说明存在注入点 # 测试2永真条件尝试绕过登录 usernameadmin OR 11passwordanything → 如果登录成功确认 SQL 注入漏洞 # 测试3注释符验证 usernameadmin--passwordanything → 如果也登录成功确认注释符可用后续可构造更复杂 Payload实操2测试越权漏洞# 用户A的请求 GET /api/user/profile?userId1001 HTTP/1.1 Cookie: sessionabc123 # 修改 userId 为用户B的ID GET /api/user/profile?userId1002 HTTP/1.1 Cookie: sessionabc123 # 如果返回了用户B的数据 → 水平越权漏洞 # 如果返回用户A自己的数据 → 服务端做了权限校验安全Repeater 使用技巧每个测试点开一个独立标签页用标签自命名功能双击标签名标记测试内容如SQLi-login、“IDOR-userId”避免标签一多就混乱。六、Intruder入侵者Intruder 是 Burp 的自动化攻击工具——把 Repeater 的手动逐条测试变成批量自动化。四种攻击模式模式说明适用场景Sniper单参数位逐个 payload 替换单个参数测试如密码爆破Battering Ram所有参数位用同一组 payload多处用同一字典如同一密码试多个字段Pitchfork多参数位一一对应用户名和密码一一配对测试Cluster Bomb多参数位笛卡尔积用户名×密码的全组合爆破社区版 Intruder 有请求速率限制跑得较慢但不影响学习。专业版无限制。Intruder 使用流程从 Proxy 右键 →Send to Intruder快捷键CtrlI切换到 Intruder → Positions 标签选择攻击模式标记参数位清除默认标记§ §选中你要替换的值点击Add §切换到 Payloads 标签配置 payload点击Start attackPayload 常用类型类型说明示例Simple list手动输入或从文件加载/usr/share/wordlists/rockyou.txtNumbers数字递增/递减1 → 1000Brute forcer指定字符集全排列a-z, 0-9 生成短字符串Recursive grep从前一次响应中提取值提取 CSRF token 用于下一次请求Grep-Match / Grep-Extract在 Intruder 攻击结果的Options标签中配置Grep-Match在响应中搜索特定字符串如Login successful方便在结果表格里快速判断成功/失败Grep-Extract从响应中提取特定值如从响应头提取 token可用于构造下一次请求实操1DVWA 登录密码爆破Proxy 中拦截 DVWA 登录请求右键 → Send to IntruderPositions选择Sniper模式只标记password参数的值usernameadminpassword§password§LoginLoginPayloads选择 Simple list加载密码字典Options → Grep-Match添加Login failedDVWA 登录失败时出现的文字Start attack在结果中找到Grep-Match 列不为勾的请求——那大概率就是正确的密码实操2枚举用户 ID# 请求 GET /api/user/§1§ HTTP/1.1 # Positions标记 URL 中的数字 # PayloadsNumbers范围 1 → 1000步长 1 # Grep-Match添加 user not found # 攻击结果中 # - Grep-Match 列无勾 → 有效用户ID # - Grep-Match 列有勾 → 无效ID # - 按状态码排序200 有效403/404 无效七、Decoder编解码器Decoder 是处理各种编码格式的瑞士军刀——解码还原混淆数据、编码构造攻击 Payload。支持的格式操作类型支持格式编码/解码Base64、URL、HTML、Hex、Gzip哈希计算MD5、SHA-1、SHA-256、SHA-512智能识别Smart Decode自动检测并解码使用方式直接在 Decoder 标签页输入内容或从其他模块右键 → Send to Decoder选择操作Encode / Decode / Hash选择格式查看结果实操解码多层编码的 Cookie# 原始 Cookie 值看似乱码 user%7B%22id%22%3A1001%2C%22role%22%3A%22user%22%7D # 第1步URL 解码 → user{id:1001,role:user} # 第2步发现是 JSON修改 role 为 admin → user{id:1001,role:admin} # 第3步重新 URL 编码 → user%7B%22id%22%3A1001%2C%22role%22%3A%22admin%22%7D # 第4步用 Repeater 发送修改后的 Cookie验证是否越权成功Smart Decode不确定数据经过几层编码时点 Smart Decode 让 Burp 自动识别并逐层解码省去手动猜测。八、Comparer比较器Comparer 用于比较两次请求或响应的差异——当你修改了一个参数想直观看到响应有什么变化时很有用。使用方式在 Proxy History / Repeater 中选中两个请求/响应右键 →Send to Comparer切换到 Comparer 标签页选中两条记录点击CompareBurp 会以文字/字节两种模式展示差异差异部分高亮实操发现越权响应差异# 请求A用户A的合法请求 GET /api/orders HTTP/1.1 Cookie: sessionuserA_session → 响应3条订单共 ¥500 # 请求B修改Cookie为用户B的session GET /api/orders HTTP/1.1 Cookie: sessionuserB_session → 响应5条订单共 ¥1200 # Comparer 对比两个响应 # - 订单数量不同3 vs 5 # - 金额不同¥500 vs ¥1200 # → 说明 session 校验不足或 Cookie 可伪造确认越权九、Target目标站点地图Target 标签页自动汇总了所有代理经过的请求按站点结构生成树形地图。核心功能Site map按域名/路径分层展示所有访问过的 URL一目了然地看到站点的完整结构Scope设定测试范围只关注目标站点过滤掉无关流量配置 ScopeTarget → Site map → 右键目标域名 →Add to scope在 Scope 设置中可以选择Include/Exclude模式设好 Scope 后Proxy History / Scanner 等模块都会按此范围过滤始终设定 Scope。不设 Scope 的话浏览器加载的第三方资源广告、统计脚本、CDN的请求也会混进来严重干扰你关注目标站点。十、Scanner扫描器— 专业版Scanner 是 Burp 专业版的核心差异化功能能够自动发现漏洞。被动扫描 vs 主动扫描类型行为风险被动扫描只分析已代理的流量不发送新请求零风险不触发目标任何告警主动扫描向目标发送大量测试请求主动探测漏洞有风险可能触发 WAF / IPS 告警扫描流程在 Site map 中右键目标 →Actively scan this host配置扫描范围Crawl Audit / Audit only等待扫描完成在 Dashboard → Issue activity 中查看发现按严重程度排序Critical / High / Medium / Low / Info点击每个 Issue 查看详情、请求/响应、修复建议误报排除扫描结果中每个 Issue 都有Confidence信心等级Certain / Firm / Tentative优先关注 Confidence 为 Certain 和 Firm 的发现Tentative 的可能是误报需要用 Repeater 手动确认社区版替代方案社区版无法使用 Scanner但可以配合 SQLmap、Nikto、Nuclei 等开源工具实现类似效果# 从 Burp 导出请求保存为文件 request.txt然后用 SQLmap 测试sqlmap-rrequest.txt--batch--level3# Nikto 全站扫描nikto-hhttp://target.com# Nuclei 漏洞模板扫描nuclei-uhttp://target.com-tcves/十一、BApp Store 扩展插件BApp Store 是 Burp 的插件市场社区贡献了大量增强工具。插件安装Extender → BApp Store 标签页浏览或搜索插件点击Install安装已安装的插件在 Extender → Installed 中管理必装插件推荐插件功能适用场景HackBar在 Burp 内快速构造攻击 Payload支持编码转换SQL 注入 / XSS 手工测试Logger增强版日志记录所有模块的请求/响应支持高级过滤需要完整记录所有流量的场景Autorize自动化越权测试——用低权限 Cookie 重放高权限请求水平/垂直越权批量检测Copy as Python Requests右键一键导出请求为 Python requests 代码需要写 PoC 脚本时Wappalyzer识别目标站点的技术栈框架/服务器/CMS信息收集阶段JSON Beautifier格式化 JSON 响应方便阅读API 测试时 JSON 响应可读性差CSRF Token Tracker自动更新 CSRF Token避免 Intruder 攻击因 Token 过期而失败有 CSRF 防护的目标Turbo Intruder高性能 Intruder 替代品支持 Python 脚本化攻击大规模爆破/竞态条件测试Autorize 配合 Burp 使用安装后在 Autorize 中配置低权限用户的 Cookie。之后用高权限账号正常浏览站点Autorize 会自动用低权限 Cookie 重放每个请求并标注哪些请求存在越权——省去了手动逐条测试的繁琐。十二、实战技巧与注意事项1. 上游代理链访问内网目标当目标在内网需要通过跳板机访问时Proxy → Proxy settings → Upstream Proxy Servers → Add目标域名*.internal.corp 代理地址jump-host.corp 代理端口1080这样访问内网目标的流量会先经过跳板机其他流量照常走直连。2. 大文件上传/下载绕过代理大文件流量经过 Burp 会导致卡顿可以在 Proxy 设置中排除Proxy → Proxy settings → Intercept Client Requests → AddURL 匹配\.zip$|\.iso$|\.tar\.gz$ 动作Drop 或 不拦截3. 内存与性能调优# 启动时分配更多内存java-jar-Xmx4096mburpsuite_community.jar# 运行中清理内存# 1. Proxy History 全选 → 右键 → Delete清除历史记录释放内存# 2. 临时关闭不需要的被动扫描专业版4. 与 SQLmap 联动从 Burp 导出请求给 SQLmap# 方法1Proxy History 中右键请求 → Save items保存为文件 # 然后用 SQLmap 加载 sqlmap -r saved_request.txt --batch # 方法2复制请求为原始文本粘贴到文件 # 在 Repeater 中右键 → Copy to clipboard → 保存为 request.txt sqlmap -r request.txt --dbs5. 多用户/多角色测试测试越权时的 Session 管理技巧在浏览器开多个 Profile不同 Profile 用不同 Cookie用 FoxyProxy 配合 Burp不同浏览器窗口共用同一个代理Autorize 插件自动用低权限 Cookie 重放省去手动切换⚠️合规提醒Burp Suite 仅用于授权的安全测试。未经许可对他人系统进行扫描或攻击是违法行为。始终确认你已获得目标系统所有者的书面授权。十三、速查表常用快捷键快捷键功能CtrlRSend to RepeaterCtrlISend to IntruderCtrlDSend to DecoderCtrlFForward放行拦截的请求CtrlTToggle Intercept on/offCtrlUURL 编码选中内容CtrlShiftUURL 解码选中内容CtrlHHTML 编码选中内容CtrlShiftHHTML 解码选中内容CtrlBBase64 编码选中内容CtrlShiftBBase64 解码选中内容常用操作路径操作路径拦截请求修改Proxy → Intercept → 修改 → Forward发送到手动测试右键请求 → Send to Repeater发送到自动化攻击右键请求 → Send to Intruder编解码右键选中内容 → Send to Decoder比较差异选中两条 → 右键 → Send to Comparer设定测试范围Target → Site map → 右键域名 → Add to scope导出请求给SQLmap右键请求 → Save items → sqlmap -r file.txtPayload 字典推荐用途字典路径Kali Linux通用密码/usr/share/wordlists/rockyou.txtSecLists 全集/usr/share/seclists/Web 内容发现/usr/share/seclists/Discovery/Web-Content/用户名枚举/usr/share/seclists/Usernames/Fuzzing/usr/share/seclists/Fuzzing/状态码速查状态码含义渗透中的意义200成功正常响应检查内容是否泄露敏感信息301/302重定向登录后跳转关注重定向目标401未认证需要有效凭据403禁止访问有权限控制测试能否绕过404不存在路径/资源不存在500服务器错误可能触发了漏洞SQL注入常见
Burp Suite 实战使用指南
Burp Suite 实战使用指南Web 安全测试的瑞士军刀——从安装配置到常用功能的实操教程每个功能都有可复现的步骤。目录一、Burp Suite 是什么二、安装与环境配置三、核心工作流总览四、Proxy代理拦截五、Repeater重放器六、Intruder入侵者七、Decoder编解码器八、Comparer比较器九、Target目标站点地图十、Scanner扫描器— 专业版十一、BApp Store 扩展插件十二、实战技巧与注意事项十三、速查表一、Burp Suite 是什么Burp Suite 是 PortSwigger 公司开发的 Web 应用安全测试平台是渗透测试人员的标配工具。它的核心能力很简单拦截浏览器与服务器之间所有的 HTTP/HTTPS 请求和响应让你查看、修改、重放、自动化攻击。社区版 vs 专业版功能社区版免费专业版付费Proxy 拦截✅✅Repeater 重放✅✅Intruder 入侵者⚠️ 限速降速模式✅ 无限制Decoder 编解码✅✅Comparer 比较✅✅Scanner 扫描器❌✅被动扫描❌✅项目文件保存❌✅协作/云端❌✅新手建议社区版足够学习所有核心操作。Intruder 限速只是慢一点不影响学习。Scanner 是专业版最大卖点但初学阶段手动测试能力比自动扫描更重要。二、安装与环境配置1. JDK 环境准备Burp Suite 基于 Java需要 JDK 17# macOSbrewinstallopenjdk17# Linux (Debian/Ubuntu)sudoaptinstall-yopenjdk-17-jdk# 验证java-version# 应输出 openjdk version 17.x.x 或更高2. 下载与启动# Kali Linux — 已预装直接启动burpsuite# 其他系统 — 从官网下载# https://portswigger.net/burp/communitydownload# 命令行启动指定内存java-jar-Xmx2048mburpsuite_community.jar 建议至少分配 2GB 内存-Xmx2048m处理大流量时不会卡顿。3. 浏览器代理配置Burp 默认监听127.0.0.1:8080。需要让浏览器流量走这个代理Firefox FoxyProxy推荐安装 FoxyProxy Standard 扩展点击 FoxyProxy 图标 → 选项 → 添加代理IP127.0.0.1端口8080协议HTTP使用时切换到该代理即可Chrome / Edge SwitchyOmega安装 SwitchyOmega 扩展新建情景模式 → 代理服务器代理协议HTTP地址127.0.0.1端口8080使用时切换情景模式4. HTTPS 证书安装不装证书浏览 HTTPS 站点时会收到证书警告部分请求无法正常拦截浏览器代理设好后访问http://burp点击右上角“CA Certificate”下载证书文件Firefox设置 → 隐私与安全 → 查看证书 → 导入 → 选择下载的证书 → 勾选信任此 CA 以标识网站Chrome/Edge双击证书文件 → 安装 → 存储位置选当前用户 → 放入受信任的根证书颁发机构5. 常见坑与排查问题原因解决浏览器提示连接不安全CA 证书未安装或未信任重新导入证书确认勾选标识网站代理设了但 Burp 没收到请求浏览器有其他代理/VPN 冲突关闭 VPN 或检查系统代理设置Burp 启动后浏览器无法上网Burp 没在运行或监听地址不对确认 Proxy → Proxy settings 里监听127.0.0.1:8080拦截 HTTPS 但内容是乱码可能忘记安装 CA 证书按上面步骤重新安装三、核心工作流总览一次典型的 Burp Suite 渗透流程浏览目标网站 → Proxy 拦截所有请求 ↓ 发现可疑参数 → 发送到 Repeater手动测试 ↓ 确认漏洞存在 → 发送到 Intruder自动化攻击/批量验证 ↓ 需要编解码 → Decoder 处理 ↓ 对比响应差异 → Comparer 分析 ↓ 整理发现 → 写报告核心思路Proxy 是入口Repeater 是主力Intruder 是放大器。四、Proxy代理拦截Proxy 是 Burp 最核心的功能——所有流量都从这里经过。Intercept is on / offIntercept is on每个请求都会被拦截停在你面前等你决定Forward 放行 / Drop 丢弃Intercept is off请求自动放行但仍记录在 HTTP History 里日常使用建议大部分时间保持Intercept is off让流量自动流过并记录。只有在需要修改特定请求时才临时打开拦截。这样既不会被打断浏览又不丢失任何请求记录。拦截请求并修改打开Intercept is on在浏览器中执行操作如提交表单Burp 拦截到请求在 Intercept 面板中显示原始请求直接修改请求内容如修改 POST 参数usernameadmin→usernameadmin点击Forward放行HTTP HistoryIntercept is off时所有请求都记录在 HTTP History 标签页过滤点击 Filter → 勾选/取消 MIME type、状态码、文件扩展名等搜索在搜索框输入关键词支持正则排序点击列标题按 Host / Path / Status / Length 排序快速操作右键请求 → Send to Repeater / Send to Intruder / Send to Decoder实操拦截 DVWA 登录请求启动 DVWA 靶场docker run -d -p 80:80 vulnerables/web-dvwa浏览器代理指向 Burp打开Intercept is on在 DVWA 登录页面输入admin / password点击 LoginBurp 拦截到 POST 请求可以看到usernameadminpasswordpasswordLoginLogin修改password参数为password点击 Forward观察 DVWA 返回 SQL 报错——说明存在 SQL 注入点五、Repeater重放器Repeater 是手动测试漏洞的主力工具——你可以反复修改请求并查看响应逐一手动验证每个假设。基本操作从 Proxy / Intruder 中右键 →Send to Repeater快捷键CtrlR切换到 Repeater 标签页选中对应请求标签修改请求参数点击Send发送查看右侧响应面板实操1手动测试 SQL 注入# 原始请求参数 usernameadminpasswordpassword # 测试1加单引号观察报错 usernameadminpasswordpassword → 如果返回 SQL 报错说明存在注入点 # 测试2永真条件尝试绕过登录 usernameadmin OR 11passwordanything → 如果登录成功确认 SQL 注入漏洞 # 测试3注释符验证 usernameadmin--passwordanything → 如果也登录成功确认注释符可用后续可构造更复杂 Payload实操2测试越权漏洞# 用户A的请求 GET /api/user/profile?userId1001 HTTP/1.1 Cookie: sessionabc123 # 修改 userId 为用户B的ID GET /api/user/profile?userId1002 HTTP/1.1 Cookie: sessionabc123 # 如果返回了用户B的数据 → 水平越权漏洞 # 如果返回用户A自己的数据 → 服务端做了权限校验安全Repeater 使用技巧每个测试点开一个独立标签页用标签自命名功能双击标签名标记测试内容如SQLi-login、“IDOR-userId”避免标签一多就混乱。六、Intruder入侵者Intruder 是 Burp 的自动化攻击工具——把 Repeater 的手动逐条测试变成批量自动化。四种攻击模式模式说明适用场景Sniper单参数位逐个 payload 替换单个参数测试如密码爆破Battering Ram所有参数位用同一组 payload多处用同一字典如同一密码试多个字段Pitchfork多参数位一一对应用户名和密码一一配对测试Cluster Bomb多参数位笛卡尔积用户名×密码的全组合爆破社区版 Intruder 有请求速率限制跑得较慢但不影响学习。专业版无限制。Intruder 使用流程从 Proxy 右键 →Send to Intruder快捷键CtrlI切换到 Intruder → Positions 标签选择攻击模式标记参数位清除默认标记§ §选中你要替换的值点击Add §切换到 Payloads 标签配置 payload点击Start attackPayload 常用类型类型说明示例Simple list手动输入或从文件加载/usr/share/wordlists/rockyou.txtNumbers数字递增/递减1 → 1000Brute forcer指定字符集全排列a-z, 0-9 生成短字符串Recursive grep从前一次响应中提取值提取 CSRF token 用于下一次请求Grep-Match / Grep-Extract在 Intruder 攻击结果的Options标签中配置Grep-Match在响应中搜索特定字符串如Login successful方便在结果表格里快速判断成功/失败Grep-Extract从响应中提取特定值如从响应头提取 token可用于构造下一次请求实操1DVWA 登录密码爆破Proxy 中拦截 DVWA 登录请求右键 → Send to IntruderPositions选择Sniper模式只标记password参数的值usernameadminpassword§password§LoginLoginPayloads选择 Simple list加载密码字典Options → Grep-Match添加Login failedDVWA 登录失败时出现的文字Start attack在结果中找到Grep-Match 列不为勾的请求——那大概率就是正确的密码实操2枚举用户 ID# 请求 GET /api/user/§1§ HTTP/1.1 # Positions标记 URL 中的数字 # PayloadsNumbers范围 1 → 1000步长 1 # Grep-Match添加 user not found # 攻击结果中 # - Grep-Match 列无勾 → 有效用户ID # - Grep-Match 列有勾 → 无效ID # - 按状态码排序200 有效403/404 无效七、Decoder编解码器Decoder 是处理各种编码格式的瑞士军刀——解码还原混淆数据、编码构造攻击 Payload。支持的格式操作类型支持格式编码/解码Base64、URL、HTML、Hex、Gzip哈希计算MD5、SHA-1、SHA-256、SHA-512智能识别Smart Decode自动检测并解码使用方式直接在 Decoder 标签页输入内容或从其他模块右键 → Send to Decoder选择操作Encode / Decode / Hash选择格式查看结果实操解码多层编码的 Cookie# 原始 Cookie 值看似乱码 user%7B%22id%22%3A1001%2C%22role%22%3A%22user%22%7D # 第1步URL 解码 → user{id:1001,role:user} # 第2步发现是 JSON修改 role 为 admin → user{id:1001,role:admin} # 第3步重新 URL 编码 → user%7B%22id%22%3A1001%2C%22role%22%3A%22admin%22%7D # 第4步用 Repeater 发送修改后的 Cookie验证是否越权成功Smart Decode不确定数据经过几层编码时点 Smart Decode 让 Burp 自动识别并逐层解码省去手动猜测。八、Comparer比较器Comparer 用于比较两次请求或响应的差异——当你修改了一个参数想直观看到响应有什么变化时很有用。使用方式在 Proxy History / Repeater 中选中两个请求/响应右键 →Send to Comparer切换到 Comparer 标签页选中两条记录点击CompareBurp 会以文字/字节两种模式展示差异差异部分高亮实操发现越权响应差异# 请求A用户A的合法请求 GET /api/orders HTTP/1.1 Cookie: sessionuserA_session → 响应3条订单共 ¥500 # 请求B修改Cookie为用户B的session GET /api/orders HTTP/1.1 Cookie: sessionuserB_session → 响应5条订单共 ¥1200 # Comparer 对比两个响应 # - 订单数量不同3 vs 5 # - 金额不同¥500 vs ¥1200 # → 说明 session 校验不足或 Cookie 可伪造确认越权九、Target目标站点地图Target 标签页自动汇总了所有代理经过的请求按站点结构生成树形地图。核心功能Site map按域名/路径分层展示所有访问过的 URL一目了然地看到站点的完整结构Scope设定测试范围只关注目标站点过滤掉无关流量配置 ScopeTarget → Site map → 右键目标域名 →Add to scope在 Scope 设置中可以选择Include/Exclude模式设好 Scope 后Proxy History / Scanner 等模块都会按此范围过滤始终设定 Scope。不设 Scope 的话浏览器加载的第三方资源广告、统计脚本、CDN的请求也会混进来严重干扰你关注目标站点。十、Scanner扫描器— 专业版Scanner 是 Burp 专业版的核心差异化功能能够自动发现漏洞。被动扫描 vs 主动扫描类型行为风险被动扫描只分析已代理的流量不发送新请求零风险不触发目标任何告警主动扫描向目标发送大量测试请求主动探测漏洞有风险可能触发 WAF / IPS 告警扫描流程在 Site map 中右键目标 →Actively scan this host配置扫描范围Crawl Audit / Audit only等待扫描完成在 Dashboard → Issue activity 中查看发现按严重程度排序Critical / High / Medium / Low / Info点击每个 Issue 查看详情、请求/响应、修复建议误报排除扫描结果中每个 Issue 都有Confidence信心等级Certain / Firm / Tentative优先关注 Confidence 为 Certain 和 Firm 的发现Tentative 的可能是误报需要用 Repeater 手动确认社区版替代方案社区版无法使用 Scanner但可以配合 SQLmap、Nikto、Nuclei 等开源工具实现类似效果# 从 Burp 导出请求保存为文件 request.txt然后用 SQLmap 测试sqlmap-rrequest.txt--batch--level3# Nikto 全站扫描nikto-hhttp://target.com# Nuclei 漏洞模板扫描nuclei-uhttp://target.com-tcves/十一、BApp Store 扩展插件BApp Store 是 Burp 的插件市场社区贡献了大量增强工具。插件安装Extender → BApp Store 标签页浏览或搜索插件点击Install安装已安装的插件在 Extender → Installed 中管理必装插件推荐插件功能适用场景HackBar在 Burp 内快速构造攻击 Payload支持编码转换SQL 注入 / XSS 手工测试Logger增强版日志记录所有模块的请求/响应支持高级过滤需要完整记录所有流量的场景Autorize自动化越权测试——用低权限 Cookie 重放高权限请求水平/垂直越权批量检测Copy as Python Requests右键一键导出请求为 Python requests 代码需要写 PoC 脚本时Wappalyzer识别目标站点的技术栈框架/服务器/CMS信息收集阶段JSON Beautifier格式化 JSON 响应方便阅读API 测试时 JSON 响应可读性差CSRF Token Tracker自动更新 CSRF Token避免 Intruder 攻击因 Token 过期而失败有 CSRF 防护的目标Turbo Intruder高性能 Intruder 替代品支持 Python 脚本化攻击大规模爆破/竞态条件测试Autorize 配合 Burp 使用安装后在 Autorize 中配置低权限用户的 Cookie。之后用高权限账号正常浏览站点Autorize 会自动用低权限 Cookie 重放每个请求并标注哪些请求存在越权——省去了手动逐条测试的繁琐。十二、实战技巧与注意事项1. 上游代理链访问内网目标当目标在内网需要通过跳板机访问时Proxy → Proxy settings → Upstream Proxy Servers → Add目标域名*.internal.corp 代理地址jump-host.corp 代理端口1080这样访问内网目标的流量会先经过跳板机其他流量照常走直连。2. 大文件上传/下载绕过代理大文件流量经过 Burp 会导致卡顿可以在 Proxy 设置中排除Proxy → Proxy settings → Intercept Client Requests → AddURL 匹配\.zip$|\.iso$|\.tar\.gz$ 动作Drop 或 不拦截3. 内存与性能调优# 启动时分配更多内存java-jar-Xmx4096mburpsuite_community.jar# 运行中清理内存# 1. Proxy History 全选 → 右键 → Delete清除历史记录释放内存# 2. 临时关闭不需要的被动扫描专业版4. 与 SQLmap 联动从 Burp 导出请求给 SQLmap# 方法1Proxy History 中右键请求 → Save items保存为文件 # 然后用 SQLmap 加载 sqlmap -r saved_request.txt --batch # 方法2复制请求为原始文本粘贴到文件 # 在 Repeater 中右键 → Copy to clipboard → 保存为 request.txt sqlmap -r request.txt --dbs5. 多用户/多角色测试测试越权时的 Session 管理技巧在浏览器开多个 Profile不同 Profile 用不同 Cookie用 FoxyProxy 配合 Burp不同浏览器窗口共用同一个代理Autorize 插件自动用低权限 Cookie 重放省去手动切换⚠️合规提醒Burp Suite 仅用于授权的安全测试。未经许可对他人系统进行扫描或攻击是违法行为。始终确认你已获得目标系统所有者的书面授权。十三、速查表常用快捷键快捷键功能CtrlRSend to RepeaterCtrlISend to IntruderCtrlDSend to DecoderCtrlFForward放行拦截的请求CtrlTToggle Intercept on/offCtrlUURL 编码选中内容CtrlShiftUURL 解码选中内容CtrlHHTML 编码选中内容CtrlShiftHHTML 解码选中内容CtrlBBase64 编码选中内容CtrlShiftBBase64 解码选中内容常用操作路径操作路径拦截请求修改Proxy → Intercept → 修改 → Forward发送到手动测试右键请求 → Send to Repeater发送到自动化攻击右键请求 → Send to Intruder编解码右键选中内容 → Send to Decoder比较差异选中两条 → 右键 → Send to Comparer设定测试范围Target → Site map → 右键域名 → Add to scope导出请求给SQLmap右键请求 → Save items → sqlmap -r file.txtPayload 字典推荐用途字典路径Kali Linux通用密码/usr/share/wordlists/rockyou.txtSecLists 全集/usr/share/seclists/Web 内容发现/usr/share/seclists/Discovery/Web-Content/用户名枚举/usr/share/seclists/Usernames/Fuzzing/usr/share/seclists/Fuzzing/状态码速查状态码含义渗透中的意义200成功正常响应检查内容是否泄露敏感信息301/302重定向登录后跳转关注重定向目标401未认证需要有效凭据403禁止访问有权限控制测试能否绕过404不存在路径/资源不存在500服务器错误可能触发了漏洞SQL注入常见