应用:

在渗透测试中,进行请求与响应的消息验证分析。如修改请求参数,验证输入的漏洞与逻辑越权;从拦截历史记录中,捕获特征性的请求消息进行请求重放。

功能:

修改和重放http请求,如尝试手工注入,文件上传黑名单的测试等。

基本使用:

一:首先需要抓取一个http请求(历史记录):

1.关掉拦截:Proxy--Intercept--点击Intercept is on将其改为Intercept is off

2.打开浏览器(我用的火狐),查看代理是否设置完好:设置--网络设置--连接设置--手动配置代理--http代理:127.0.0.1        端口:8080

3.访问网站

4.查看bp是否抓取到所对应的请求:Proxy--HTTP history--URL

二:将请求发送到Repeater模块:Proxy--HTTP history--目标Host--右键send to repeater

三:查看Repeater模块:Repeater--Request--Raw(原始的请求):可修改

--Params(列表化形式的参数)

--Headers

--Hex:可修改

修改完点击Go,返回Response(请求重放),我们可以发现Response中HTML与Render(页面渲染)均已改变。

实战常用功能(注入):

一:寻找注入点:

id--注入参数

一:打开bp:Proxy--HTTP history--Host--右键Send to Repeater

二:查看id为1的时候的响应

三:在注入点添加注入请求语句(进行联合查询/分段查询):

1.修改id为2,查看响应。 

2.注意不能在原始请求里面直接加语句:

如:(查询字段数)

可以看到Response中 当前查询语句并没有代入order by 1,这么做是无效的。

3.在Params中修改:修改Value为1 order by 1,点击Go

可以看到order by 1已经带入查询且返回正常

在Value里修改1分别为2,3发现返回正常,直到改为4时:

 说明一共有三个字段

4.接下来可进行union的人工查询:修改Value为1 union select 1,2,3--Go

第一个显示位:用户ID : 1

第二个显示位:用户账号 : 2

第三个显示位:用户密码 : 3

5.把1,2,3换成想要查询的变量:

如(改为version)

可知MySQL版本为5.5.40

改为user()         得root@localhost

改为@@basedir(根目录)    得C:/Program Files/......./MySQL/

可选设置选项:最上方Repeater

1.自动更新请求的Content-Length

2.控制解压,压缩

3.是否跟随服务器进行跳转

4.若选中,则在跳转过程中设置cookies信息

5.Repeater视图布局

6.其他操作

学习自i春秋网站:【i春秋】-专注网络安全_信息安全_白帽子的在线学习_教育_培训平台

萌新初学,如有任何问题请多多指教

【BurpSuite】初学笔记之Repeater相关推荐

  1. python窗体设计插件_Python 界面生成器 wxFormBuilder 的入门使用(wxPython的界面设计工具的初学笔记)...

    环境,Win10,python3.7.3,wxPython 4.0.4,wxFormBuilder 3.9 1.准备一个窗体. 点击wxformbuilder上方的标签"forms" ...

  2. Lucene.Net 初学笔记 - 索引

    上次随笔写的Lucene.Net 初学笔记 - 介绍,有许多前辈让我知道了Lucene.Net已经不再更新,最后的版本写到2.9.2,不过只更新在svn上.我上次下载是官方正式发布的版本,只有2.0. ...

  3. 0起步的摄影初学笔记

    摄影初学笔记 双镜头反光相机 单镜头反光相机(单反) 光圈 类似瞳孔大小 景深  成像范围 小光圈大景深 大光圈小景深 Av模式:光圈有限模式 自己决定光圈大小 左手动镜头调光圈 右手相机调光圈 光圈 ...

  4. GAMMA初学笔记三

    GAMMA初学笔记三 简单记录下学习过程,以防后面自己忘记,如果有问题,欢迎大家交流留言. 一.语法记录 1.查看影像经纬度范围 SLC_corners 20190424.mli.par 2.拼接哨兵 ...

  5. cocoscreator初学笔记001

    cocoscrestor初学笔记 由于工作原因需要学习cocoscreator基础进行简单的游戏制作,也因为时间原因,之前自学的unity3d也放置了许久,等有空了才能填之前unity3d学习的坑了. ...

  6. Python初学笔记(第一学期学完c后和栗子一起学python)

    Python初学笔记 一.基本数据类型 1.整数 2.浮点数 3.字符串 4.布尔值(即"对"与"错"): 5.空值 二.变量的定义 1.变量名 2.变量的定义 ...

  7. ASP.NET MVC 初学笔记.3 MVC5、EF、RDLC实现报表操作

    在ASP.NET的研究学习中又要用到报表,比如在OA系统里实现凭证.文件等,报表是一个必不可少的东西,但百度了一圈,发现讲得最多的还是水晶报表等第三方报表,好像微软原装的RDLC报表随着MVC的升级渐 ...

  8. CMake初学笔记(一)

    CMake初学笔记(一) CMake是什么 CMake怎么实现跨平台 CMake具体实践过程 CMakeLists.txt编写快速入门 常见函数 例子 CMake是什么 跨平台编译工具,为了实现&qu ...

  9. Altium Designer 初学笔记

    Altium Designer 初学笔记–从零开始发厂打印 新手初学AD,此博客作为初学笔记,供日后复习及分享学习经验使用.如有不足,恳请指正. 软件:Altium Designer20 一.新建工程 ...

最新文章

  1. 96根电极每秒测量3万次,大脑植入物首次帮助瘫患者控制肌肉!
  2. python中怎么比较两个列表-Python3列表(list)比较操作教程
  3. Django项目知识点(二)
  4. 微信开发七(配置js-SDK,步骤2)
  5. dataguard switchover的自动化脚本实现
  6. 使用jedis访问redis
  7. nhibernate源码分析之六: Criteria数据加载
  8. 如何清除你的DNS缓存
  9. 任何BUG都会被发现
  10. Linux 分区简介
  11. 賀旺囍影_EDIUS6.06安装版 【实机测试】
  12. ES6中的箭头函数详细梳理
  13. 关于mac系统外接键盘的设置
  14. photoshopcs6破解补丁用来干嘛的
  15. 网易云评论 爬虫 java_网易云音乐资源爬取(登录+评论)
  16. android studio 倒计时,Android studio 学习3:实现倒计时、画板
  17. flask学习笔记一:app.run
  18. 【机器学习】多项式回归案例五:正则惩罚解决过拟合(Ridge回归和Lasso回归)
  19. 基于socket.io的php扩展介绍---phpsocket.io
  20. 硬件加油站 | 传感器 - PIR 人体红外传感器

热门文章

  1. 移远EC20 WINDOWS下安装驱动及开机自动拨号上网
  2. openni.utils.OpenNIError: (OniStatus.ONI_STATUS_ERROR, b‘DeviceOpen using default: no devices found‘
  3. 项目搭建--从基础搭建开始
  4. 深度解析区块链架构、跨链和演进
  5. 5位 Cron 正则匹配表达式(分时日月周)
  6. MATLAB在MacBook上体积太大,如何给它瘦身?--卸载平时用不到的工具箱
  7. linux移除包的命令,linux的yum卸载包命令说明
  8. 逻辑漏洞渗透与攻防(四)之任意账号注册
  9. 传统的时间序列预测模型ARMA、ARIMA(包括实战!!!)
  10. 超级表格全新界面全新体验