众所周知国内我们使用的Burp Suite
大多数是大佬们分享出来的专业破解版的Burp Suite
,每次启动的时候都得通过加载器来启动Burp Suite
,那有没有更加优雅的方式呢?现在告诉大家如何在MAC
下配置基本的渗透测试环境。
Launchpad 启动台效果图:运行Burp Suite
的时候,只需要触摸板上四指合拢打开启动台LaunchPad
,鼠标点一点就可以成功打开BP
了就要这种效果。
Dock 程序坞效果图:
因为近年来下载JDK
需要注册Oracle
账号。BurpSuite
这个版本的JDK
最稳定,如果你的JDK
出现报错的话,自行下载配置上面提供的JDK
即可,由于本文是讲解在macOS
下如何配置安装BP
,所以就偷懒只提供了macOS
最新版本的JDK
。
jdk-8u251官方下载
文件名 | 下载地址1 | 下载地址2 |
---|---|---|
burpsuite_pro_v2.1.06.jar | OneDriver | 买不起会员 |
burp-loader-keygen-2_1_06.jar | OneDriver | 蓝奏云 |
文件名 | 下载地址1 | 下载地址2 |
---|---|---|
BurpSuiteCn.jar | OneDriver | 蓝奏云 |
从官方正版的BP
里面提取出的正版的图标文件
文件名 | 下载地址 | 备用链接 |
---|---|---|
BurpSuite.icns | Onedriver | 蓝奏云 |
当前目录结构如下:
$ pwd /Users/sec/Documents/Sec/BurpSuite/2.1.06 $ tree . ├── BurpSuite.icns ├── BurpSuiteCn.jar ├── burp-loader-keygen-2_1_06.jar └── burpsuite_pro_v2.1.06.jar 0 directories, 4 files
知道路径的情况下,下面尝试命令行直接启动试试看:
$ pwd /Users/sec/Documents/Sec/BurpSuite/2.1.06 $ java -Xdock:icon=BurpSuite.icns -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v2.0.11beta.jar
&&
将命令合为一个命令,用于下方制作APP
使用,不同版本的启动命令分别如下,大家用的话修改成对应自己的目录信息即可。
cd /Users/sec/Documents/Sec/BurpSuite/2.1.06 && java -noverify -Xdock:icon=BurpSuite.icns -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burp-loader-keygen-2_1_06.jar -jar burpsuite_pro_v2.1.06.jar
借助macOS
自带的自动操作automator.app
可以轻松地将命令行封装成一个应用程序出来:首先打开自动操作,选择左下角的新建文稿:选择文稿类型为「应用程序」,点击「选取」:左侧列表中找到运行Shell
脚本然后拖入进去:把上文中的命令行模拟启动对应的命令粘贴进来,点击右上角运行测试一下看看能不能成功启动:OK
测试应该是没有问题的,然后将BP
关掉,command+s
保存一下,保存的文件格式选择应用程序,自定义命名一下,然后保存到应用程序中:然后就可以在启动台LaunchPad
中找到这个孤零零的应用程序了,点击一下就可以成功启动BP
了:
使用上文中下载的BP
图标文件,在「应用程序」文件夹中找到我们刚刚制作的「BurpSuite」应用程序,「右键」点击「显示简介」,然后将下载好的icns
图标文件拖入到简介的左上角:最后的效果如下:OK
美化成功,现在就可以在mac
下优雅地启动BP
了~~。
发现使用Firefox
的Dev
版本中的56.0b9
版本可以完美地安装老版本的Hackbar
插件,安装过后,手工注入的速度嗖嗖的上涨,并且 Firefox
可以完美的导入BP
的SSL
证书,很方便我们后期使用BurpSuite
抓取HTTPS
网站。
平台 | 下载地址(官方) | 备用下载(Onedriver) |
---|---|---|
Windows64位 | Firefox Setup 56.0b9.exe | Firefox Setup 56.0b9.exe |
Windows32位 | Firefox Setup 56.0b9.exe | 32位 不提供备用下载 |
Linux x86_64 | firefox-56.0b9.tar.bz2 | firefox-56.0b9.tar.bz2 |
macOS | Firefox 56.0b9.dmg | Firefox 56.0b9.dmg |
首先下载完启动Firefox Developer Edition
一定要断网!断网!断网!因为火狐的策略问题,默认会自动更新,联网安装的话,刚刚安装完的时候就会被强制更新最新版本了,所以断网安装大法保平安。安装完成后,设置里面勾选不检查更新。然后就可以恢复联网了:
火狐安全策略的原因是无法顺利安装一些第三方插件的,得手动去高级选项里面关闭一下,浏览器打开:about:config
点击“我了解此风险”:鼠标下滑,找到倒数第3
个和第4
个选项,即xpinstall.signatures.required
和xpinstall.whitelist.required
,将值切换为false
:然后就可以愉快地安装一些第三方插件了,下面开始安利一款Web安全必备的Hackbar插件。
修改了浮夸的界面,爱护眼睛才是第一.感谢r0oth3x49
升级!By Darkmelody
。
文件名 | 备用链接 |
---|---|
hackbar.1.6.5.xpi | 蓝奏云 |
自从用了这款Hackbar
插件后,手工注入的速度简直提升到了另一个阶级了,通过F9
开启和隐藏也十分地方便。
官方网站配合BP代理神器,切换代理很方便,设置好BP
的代理后切换burpsuite
。
使用已经代理了BP
的浏览器访问如下地址:http://burp
会得到如下界面,点击右上角的CA Certificate
证书,然后保存好der
证书文件:浏览器设置里面找到隐私与安全,找到查看证书的选项:证书机构,点击导入,选择刚刚下载好的der
证书导入即可:记得下面3
个都要勾选:OK
现在你的BP
就可以在Firefox
下美滋滋地抓取HTTPS
的数据包了:
macOS
下Chrome
导入BP
的证书后,也是可以完美的抓取HTTPS
数据包的。打开macOS
自带的强大密码管理工具:「钥匙串」,然后找到左下角「证书」这一栏,将 BP 的证书:cacert.der
直接拖入:鼠标选中刚刚拖入的BP
证书,「右键」-「显示简介」-「信任」选择「始终信任」:OK
现在你的BP
就可以在Chrome
下美滋滋地抓取HTTPS
的数据包了:
本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!
要发表评论,您必须先登录。
希望分享更多的资源。
好东西一起分享,谢谢!