任務二、Burp Suite基礎Proxy功能；

2.1、在Kali虛擬機中打開Burp Suite工具并設置，打開“Proxy”選項卡，選中“Options”子選項卡，單機“Add”按鈕，增加一個監聽代理，設置為127.0.0.1:8080；

2.2、進行瀏覽器代理設置，啟動kali虛擬機中的瀏覽器，單擊右上角的菜單按鈕，選擇首選項；

2.3、設置數據攔截功能；

??2.3.1、在kali中打開intercept子選項卡，開啟數據包攔截功能；

??2.3.2、打開kali瀏覽器，在地址欄輸入http;//192.168.43.96；

?2.3.3、在Burp Suite中單擊forward按鈕，可以看到攔截的數據；

?2.3.4、在kali中打開瀏覽器，在地址欄輸入http;//192.168.43.96/dvwa

2.4、查看訪問目標網站的攔截數據；

注：在Burp Suite中單擊forward按鈕，可以看到攔截的數據

任務三、Burp Suite Target功能

3.1、打開Site map選項卡；

注：啟動Burp Suite，打開“Target”→”Site map”選項卡。

3.2、把指定網站設置目標范圍；

注：根據圖中的相關聯網址，右擊左邊樹形結構中的某個網址，在彈出的快捷菜單中選擇Add to scope命令，即把某個網站設置到目標范圍

3.3、Target Scope 目標域規則設置

注：Target Scope目標域規則設置，打開“Scope”子選項卡；

3.4、編輯包含規則或去除規則

注：點擊Scope”子選項卡中的“Add”按鈕，即可編輯包含規則或去除規則，具體設置對話框；

任務四、Burp Suite Spider功能

4.1、對于目標網站連接進行測試

注：打開Burp Suite，根據前面Target中的有關配置，選中要測試的頁面鏈接，右擊目標網站，選中“Spider this host”命令；

4.2、進行默認配置

注：對“Spider”選項卡下的“Options”子選項卡的有關選項取默認配置；

配置一：

配置二：

配置三：

4.3、查看檢測到的數據信息

注：單擊“Spider”選項卡中的“Control”標簽，單擊“Spider is running”按鈕，下方顯示已經請求數量，字節傳輸量，爬蟲范圍等信息；

?

任務五、Burp Suite Scanner功能

5.1、配置代理并配置被掃描域和路徑

?5.1.1、啟動Burp Suite，正確配置Burp Proxy并設置瀏覽器代理，同時在“Target”選項卡的“Site map”子選項卡中配置好要掃描的域和URL模塊路徑，右擊需要掃描的站點，選擇快捷菜單中的“Actively Scan this host”命令；

?5.1.2、打開主動掃描配置向導，選擇是否移除有關的頁面項

?5.1.3、單擊上圖中的“next”按鈕，繼續對掃描項進行配置，將不需要掃描的網絡移除，以提高掃描效率；

?5.1.4、對攻擊插入點進行配置；

5.1.5、進入“Scanner”選項卡的“Scan queue”子選項卡，查看當前掃描的進度；

5.2、打開主動掃描并進行配置；

?5.2.1、配置主動掃描域與被動掃描；

5.2.2、在target選項卡的site map子選項卡中選擇某個目錄進行掃描，優化掃描選項，對選項進行設置，指定哪些類型的文件不在掃描范圍內；

?5.2.3、在 “Target”選項卡的“Site map”子選項卡中選中需要添加的網址，單擊鼠標右鍵，在彈出的快捷菜單中選擇“Add to Scope”命令，將給網址添加到作用域中，然后進行自動掃描；

5.2.4、進入“Scanner”選項卡的“Live scaning”子選項卡，在Live Active Scanning中選擇“Use suite scope[defined in Target tab]”單選按鈕，Brup Scanner將自動掃描經過Brup Proxy的交互信息；

5.2.5、查看掃描結果，選擇“results”,可以查看此次掃描的結果；

?

任務六、Burp Suite Intruder爆破應用

6.1、Scanner測試及Web漏洞掃描

?6.1.1、啟動Burp Suite，并按照任務二的介紹完成代理設置；

?6.1.2、用瀏覽器訪問網站http;//192.168.43.96/dvwa，以滲透測試系統dvwa 為靶機站點；

?6.1.3、單擊上圖中的“Brute Force”按鈕，并單擊Brup Suite的“Proxy”選項卡下的“Forward”按鈕，輸入登錄賬號及密碼，假定已知道登錄賬號為admin，而密碼需要爆破，因此隨便輸入一個密碼；

?6.1.4、單擊login 按鈕，并在Burp Suite中截取登錄數據；

6.1.5、選中所有數據并在右鍵快捷菜單中選擇“Send to Intruder”命令；

?6.1.6、選擇“Intruder”選項卡，并選擇“Positions”；

?6.1.7、對圖中自動標記的變量進行爆破，單擊右邊的“Clear§”按鈕，然后選中密碼后面的123，在添加為爆破變量；

?6.1.8、選擇“Intruder”選項卡，并選擇“Payloads”子選項卡，對爆破變量所需的密碼文件進行配置；

6.1.9、設置完成后，單擊Brup Suite中的“Intruder”菜單項，選擇“Start attack”命令；

6.1.10、在爆破結果中，對密碼文件中的密碼進行逐個測試；

?6.1.11、以admin為賬號，password為口令進行登錄驗證；

?