burp suite设置的代理原理

qq_17672451 2018-02-16 09:03:59

为什么burp suite设置的代理总是127.0.0.1？这个的原理是什么？还有设置端口有什么要求？

...全文

1085 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

码字母的小鲁 2021-03-25

打赏
举报

回复

引用 1 楼 supu21 的回复：

这个代理的ip可以不是127.0.0.1，但是这个ip是常用的，这个ip表示是自己的本机，抓到的包是在你本机上传进传出的包，端口没有特定要求，只要是没有占用的都可以

127.0.0.1可以发出请求到服务器吗？他不是本机回还ip吗？

A思 2019-08-29

打赏
举报

回复

这个代理的ip可以不是127.0.0.1，但是这个ip是常用的，这个ip表示是自己的本机，抓到的包是在你本机上传进传出的包，端口没有特定要求，只要是没有占用的都可以

Burp-Suite-collections BurpSuite 相关收集项目，插件主要是非BApp Store（商店）所有的破解汉化或者使用burpsuite都是在你配置好了Java环境的前提下！！！ burpsuite pro 1.37 crack 破解: 打包了基本的burp,插件和汉化包等: (有能力请支持正版，本项目仅用于学习研究使用！) 渗透测试面试问题2019版文件列表 +--- books | +--- Burp Suite使用 _ Pa55w0rd 's Blog.pdf | +--- Burp Suite使用中的一些技巧.pdf | +--- burp 日志插件「burplogger++.jar」从原理到实践-信安之路.pdf | +--- BurpSuite 代理设置的小技巧.pdf | +--- burpsuite实战指南.pdf |

打p套件集合 BurpSuite相关收集项目，插件主要是非BApp Store（商店）（本项目仅用于burpsuite插件相关学习研究使用！不再提供破解版！项目已经被burp官方提交到GitHub的DMCA了，删除了破解相关文件，如有需要请前往下载最新的）文件列表 +--- books | +--- Burp Suite使用 _ Pa55w0rd 's Blog.pdf | +--- Burp Suite使用中的一些技巧.pdf | +--- burp 日志插件「burplogger++.jar」从原理到实践-信安之路.pdf | +--- BurpSuite 代理设置的小技巧.pdf | +--- burpsuite实战指南.pdf | +--- Configuring Burp Suite with Android Nougat.pdf | +---

自己在做CTF过程中做的总结下面中实验室指的是网络安全实验室题目全部来自bugku，南邮和网络安全实验室，题较基础，实验吧要复杂些文中所有知识点内容并不全，要学习原理及深入得自己去找资源学习看这个的时候，以做题为主所有工具的使用，就做题，遇到要用什么学什么先去DVWA中学习文件上传，文件包含，代码执行，命令执行,尽量亲手操作一遍，然后看前三个难度的源码，impossible难度的可以了解，网上有针对DVWA很详细的讲解 1.养成看源代码的习惯(简单) flag在源代码中()：题目 firebug修改源码绕过本地验证(有视频) 题目答案 CTF中源代码中一般有提示或者有敏感信息，建议养成看源代码的习惯 ctrl加F通用的搜索快捷键。这个题真是全程看源代码，快捷方式：F12 题目答案 2. http头(不难): burpsuite,浏览器代理设置教程抓了包后右键放到repeater里，点go可以进行发包测试，用完Burpsuite过后，要正常上网的话，要把代理关了。浏览器插件改包的话，(有视频) 找flag:在请求头，响应头尝试实验室：key究竟在哪里呢？ 302跳转的中转网页，burp抓包在HTTP history中找本应该访问的网站链接(为了方便寻找可以先clear一下历史),简单方法用firefox右键查看元素的查看网络中找到302跳转的网页，寻找flag(有视频) 南邮：单身一百年也没用如果题目中遇到只能某某ip才能访问(ip伪造)，修改或添加http请求头的X-Forwarded-For为题目允许的Ip地址,实验室：本地的诱惑题目中说为了外国人的话：确保Accept-Language中有en-US 没有就自己加，如果说了只为了的话，就删掉其它的语言类型。(有视频) 实验室：种族歧视只能用某种浏览器访问，直接修改user-agent为对应浏览器名字实验室：HAHA浏览器 Cookie的修改实验室：冒充登陆用户 Referer来源伪造题目这个题好像坏了，可以去看下wp。答案最后来一个综合的题考察下你学的怎么样实验吧：头有点大 3. 文件包含(感觉必考) 利用：读取敏感文件：如直接../../../../../etc/passwd来读取本地文件内容，其他敏感文件的读取是类似的包含Apache日志文件(应该不会考) 远程包含shell 使用PHP封装协议读取文件和写入PHP文件配合文件上传漏洞：文件包含建议理解并操作dvwa的前三个难度的这个漏洞例题：1.看到url里有?file=xxx.php(文件名) 考虑php伪协议读取源码，然后利用这一点，可以读取到你想获取的页面的源码例如： index.php，flag.php，login.php的源码,然后base64解密 url里?后面改成这个?file=php://filter/read=convert.base64-encode/resource=index.php 本句的意思是将Index.php的源码以base64加密后的形式读出来南邮：文件包含 4.暴力破解：burpsuite暴力破解教程 bugku:输入密码查看flag 5. 文件上传(感觉必考) 例：只能传jpg等不能传php 查看网页源码，很清楚看到是前端JS控制的话，那么直接禁用 JavaScript就可以上传php文件了，或者可以用burpsuite通过拦截数据包，修改filenmae后文件名后缀为php 1.jpg.php 1.php.jpg 1.php;.jpg 后缀名修改为php2, php3, php4, php5, phps, pht, phtm, phtml（php的别名）抓包修改Content_Type里的multipart/form-data为Multipart/form-data（大小写绕过） bugku:求getshell 上传过后通过显示的路径进行访问，或者右键文件属性里查找。 bugku:文件包含2 答案该题因为结合了上传，所以可以上传一句话木马，然后用菜刀连接文件上传建议理解并操作dvwa的四个难度的这个漏洞

最新超全的渗透测试学习基础教程集合，新手、大佬都可以阅读： 01.入门笔记之看雪Web安全学习及异或解密示例； 02.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记； 03.Burp Suite工具安装配置、Proxy基础用法及暴库示例； 04.实验吧CTF实战之WEB渗透和隐写术解密； 05.IDA Pro反汇编工具初识及逆向工程解密实战； 06.OllyDbg动态分析工具基础用法及Crakeme逆向破解； 07.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨； 08.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具； 09.社会工程学之基础概念、IP获取、IP物理定位、文件属性； 10.论文之基于机器学习算法的主机恶意代码； 11.虚拟机VMware+Kali安装入门及Sqlmap基本用法； 12.Wireshark安装入门及抓取网站用户名密码（一）； 13.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）； 14.Python攻防之基础常识、正则表达式、Web编程和套接字通信（一）； 15.Python攻防之多线程、C段扫描和数据库编程（二）； 16.Python攻防之弱口令、自定义字典生成及网站暴库防护； 17.Python攻防之构建Web目录扫描器及ip代理池（四； 18.XSS跨站脚本攻击原理及代码攻防演示（一）； 19.Powershell基础入门及常见用法（一）； 20.Powershell基础入门及常见用法（二）； …… 共84份，太多了就不一一列举了，喜欢的可以下载学习……

BurpSuite代理和浏览器设置

10,606

社区成员

29,047

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章