下载地址:https://www.oracle.com/java/technologies/javase-downloads.html,选择自己需要的版本,我使用的是jdk8u251,选择JDK Download
选择自己的操作系统适用的下载包
点击下载连接之后,会弹出一个提示,该提示要求我们同意协议,同意协议后即可点击下载按钮
点击下载按钮之后,会跳转到Oracle官网的登录页(以前从官网下载jdk不需要登录Oracle官网,现在从官网下载jdk必须登录官网)然后输入你Oracle账户的用户名和密码进行登录,没有Oracle账户的童鞋也不要慌,点击“创建账户”提供一个邮箱和注册信息就能快速注册一个Oracle账户了,然后就可以下载了,下载之后一路回车安装即可。
右键我的电脑-属性-高级系统设置-环境变量
系统变量-新建变量名:JAVA_HOME-新建变量值: C:\Environment\java\jdk1.8.0_251(这个路径就是你的java安装的目录)
点击path-编辑-新建-%JAVA_HOME%\bin,然后再新建%JAVA_HOME%\jre\bin,最后点击确定即可
Win+R打开运行输入cmd,再输入:javac,回车,出现如下图所示,那么恭喜,你的环境变量配置成功
下载Burp Suite社区版,社区版免费,下载地址:https://portswigger.net/burp,对于初学者如果想用专业版可以在网上找破解版本, 或者购买正版,专业版主要功能是包括Burp Scanner和一些扩展工具。
选择适用的操作系统版本下载安装到相应目录即可
打开方法:Win+R打开运行输入cmd,输入:java -jar -Xmx2048M/你的burp安装目录/burpsuite_community.jar,-Xmx指定JVM可用的最大内存,即可启动Burp Suite,启动界面如下:
1.启动浏览器
2.工具-Internet选项-连接-局域网设置
3.在代理服务器设置的地址输入:127.0.0.1,端口填写8080,确定即可
1.启动谷歌浏览器
2.设置-搜索框搜索代理
3.与IE设置相同
当然,也可以使用谷歌插件SwitchySharp,它能够帮助用户轻松快捷的管理和切换多个代理设置,用户可以自定义切换规则,安装以后其设置如下:
使用的时候点击插件图标切换成Burp模式即可
点击proxy选项卡,选择options选项,在Running前打钩,如下图所示:
浏览器输入:127.0.0.1:8080,如下图所示,说明代理成功
用于设置代理监听、请求和相应、拦截反应、匹配和替换等等一些设置
如果不安装,无法监听https流量,只能监听http流量
浏览器中没有安装过Burp的CA证书,如果已经安装,请先卸载证书
浏览器输入URL:http://localhost:8080下载证书
证书下载,另存到本地目录
1.浏览器设置-管理证书
2.导入-选择下载好的证书-下一步
3.选择受信任的根证书颁发机构
4、导入成功后重启浏览器,发现监听https流量成功
Burp Suite默认会监听本地回路地址的8080端口,也可以自定义端口
1.Lookback only:本地回路
2.All interfaces:所有接口
3.Specifi address:指定地址
1.主机名/域名的转发
2.端口转发
3.强制使用SSL
4.隐形代理
拦截富客户端软件时,通常需要使用隐形代理
什么是富客户端?
富客户端软件通常是指运行在浏览器之外的客户端软件,这就意味它本身不具有HTTP代理是属性。
使用隐形代理的方式,对通信内容进行代理或拦截,从而对通信的请求和相应消息进行分析。
1.配置hosts文件
Windows:Windows/System32/drivers/etc/hosts
Linux:/etc/hosts
2.需要添加一个新的监听来运行在HTTP默认的80端口,如果通信流量使用HTTPS协议,则端口为443
3.如果是HTTPS协议的通信方式,我们需要一个指定域名的CA证书
4.Burp拦截的流量转发给原始请求的服务器
5.通过这样的配置,我们就可以欺骗富客户端软件,将流量发送到Burp监听的端口上,再由Burp将流量转发给真实的服务器
原文:https://www.cnblogs.com/bug132294/p/12731966.html