一、准备工作
- 确认你有 Java 环境
- 安装包下载:https://pan.quark.cn/s/aa82574f7ce6 ,这个 Burp 是个 Java 写的软件,所以你电脑上得先装了 Java(JRE 或 JDK)。
- 怎么看有没有?
-
Windows:打开 CMD(按 Win + R,输入 cmd),然后输入:
java -version -
如果显示了一堆版本信息,比如
java version "1.8.0_xxx",那就说明有,可以继续。 -
如果提示"不是内部或外部命令",那你就得去 Oracle 官网 或者 OpenJDK 下个 Java,装上就行,一般装 JRE 1.8 或以上 就可以跑 Burp 1.4.07。
-
二、运行 BurpSuite-1.4.07.jar
方法一:直接双击(不一定能成功)
- 有些电脑如果 Java 配置好了,你双击这个
.jar文件,有可能会自动启动 Burp。 - 但很多时候,尤其是老版本,双击没反应,所以更推荐下面这个方法👇。
方法二:用命令行启动(推荐)
-
找到你的 BurpSuite-1.4.07.jar 文件
- 比如你把它放到了
D:\Tools\Burp\这个文件夹里。
- 比如你把它放到了
-
打开 CMD(命令提示符)
- 按下
Win + R,输入cmd,回车。
- 按下
-
用 cd 命令进入 jar 文件所在目录
-
比如 jar 文件在 D:\Tools\Burp\,那你在 CMD 里输入:
cd /d D:\Tools\Burp\注意:
/d是为了确保可以切换到不同盘符,比如从 C 盘到 D 盘。
-
-
运行 Burp
-
输入以下命令然后回车:
java -jar BurpSuite-1.4.07.jar -
如果路径或文件名没错,稍等一下,Burp 的图形界面就会弹出来!
-
⚠️ 注意:文件名一定要和你实际下载的完全一致,包括大小写。如果文件名不是
BurpSuite-1.4.07.jar,比如你改成了burp.jar,那命令也要相应改成java -jar burp.jar
三、用 Burp 开始干活
等软件启动后,你会看到 Burp 的主界面,大概是这样几个部分:
- Target(目标):管理你要测试的网站地址和范围。
- Proxy(代理):最常用的功能!设置浏览器通过 Burp 代理,抓取 HTTP 请求和响应。
- Scanner(扫描器):自动化检测漏洞(不过 1.4.07 版本的扫描功能比较基础)。
- Intruder(入侵者):用来做暴力破解、参数 fuzzing 等。
- Repeater(中继器):手动修改和重发某个请求,看服务器怎么回应。
- Sequencer、Decoder 等:辅助工具。
四、抓包(最常用功能,用 Proxy)
-
设置代理
- 在 Burp 里,点击 Proxy → Options ,记下默认的代理端口,一般是 8080。
- 然后确保 Intercept is on(拦截开启),如果你想手动查看每个请求就开着,不想的话可以关掉。
-
配置浏览器或 App 使用代理
- 把你的浏览器(比如 Firefox、Chrome)的代理设置为:
- 地址:
127.0.0.1 - 端口:
8080(跟 Burp 里的一样)
- 地址:
- 推荐使用插件比如 FoxyProxy 方便切换代理。
- 把你的浏览器(比如 Firefox、Chrome)的代理设置为:
-
开始抓包
- 打开浏览器访问某个网站,Burp 就会抓到请求,可以在 Proxy → HTTP history 里看到所有经过的请求和返回内容。
- 你也可以点 Intercept 去手动查看、修改某个请求再放行。