WenSen博客

一、 配置代理

首先，需要将浏览器的流量转发到 Burp Suite。通常我们在 Burp 中监听 127.0.0.1:8080，然后配置浏览器的 Proxy 插件（如 SwitchyOmega）。

注意：如果是 HTTPS 流量，必须在浏览器中安装 Burp 的 CA 证书。

二、 Repeater 重放模块

Repeater 允许我们手动修改 HTTP 请求并重新发送，是挖掘逻辑漏洞的核心功能。

• 右键请求 -> Send to Repeater (Ctrl+R)
• 修改参数，例如将 amount=100 修改为 amount=0.01 测试支付漏洞。

三、 Intruder 爆破实战

当遇到弱口令登录框时，可以使用 Intruder 模块：

1. 标记攻击位置：username=admin&password=§123456§
2. 加载字典：选择 Top 1000 弱口令字典。
3. 开始攻击：观察响应长度（Length）或状态码的变化，通常长度不同的响应即为爆破成功。