分享我在BurpSuite的使用中,发现的一些实用的操作。
窃以为,工具的使用不在多,而在于将所用工具的潜力挖掘殆尽....殆尽...
本文连载,为避免篇幅过长或过短,每十个tricks一组
0x01【快捷键】
做设计师,记忆PhotoShop的快捷键的经历以及后来爱上了vim;
让我对常用软件的快捷键有一种下意识地记忆。
大家可以到 User Options-Misc-Hotkeys中查看BurpSuite所有默认快捷键
如下是我自己常用的
0x02【页面显示】
- 中文无法显示的问题:
User options - HTTP Message Display - Font
将字体设置为可支持中文的字体,默认字体不支持中文 - 文字排版的问题:
是因为字体、大小带来的视觉问题,根据个人情况自行调整即可
0x03 【只拦截指定站点】
Proxy - Options - Intercept Client Requests - Add
将站点域名添加进去,如下图,此时只会拦截teagle.top域,包括次级域名
0x04 【history中只显示指定站点数据包】
0x05 【标记关键数据包】
0x06 【拦截响应包】
一次性拦截:
右键 - Do intercept - Response to this request
或者
Action - Do intercept - Response to this request
一直拦截:
Proxy - Options - Intercept Server Responses - Intercept responses based on the following rules
0x07 【自动显示客户端隐藏的表单】
打开浏览器代理,关闭burpsuite拦截,跟正常浏览没区别,但是隐藏的表单便会高亮显示
Proxy - Options - Unhide hidden form fields - Prominently hightlight unhidden fields
一些ctf中总是爱将关键字隐藏,此时就省去了很多事情了
0x08 【自动生成CSRF POC】
右键 - Generate CSRF Poc - 复制html即可
0x09 【CSRF POST型转GET型尝试】
大家都知道get型csrf比post型csrf地位高多了
所以,存在post型csrf漏洞的时候一定要尝试是否支持get方式请求数据
Repeate - 右键 - Change request method - Go
(CSRF漏洞挖掘可以参考我的另一篇博客http://teagle.top/index.php/archives/71/)
0x10 【查看Repeate历史记录】
同一个数据包go了很多次后,发现又想看看之前样子