(本文仅为平时学习记录,若有错误请大佬指出,如果本文能帮到你那我也是很开心啦)
一、HTTP协议基础
HTTP:HyperText Transfer Protocol,超文本传输协议
1.协议特点:
- 简单快速,请求方式get post head等8中请求方式
- 无连接(一次请求就断开)无状态(没有记忆功能,不会记录任何信息)
2.支持的模式:B/S、C/S(websocket进行通信)
3.请求包格式:request=请求行+请求头+空行+请求数据
4.请求方式:
- http1.0版本: GET POST HEAD
- http1.1版本: GET POST HEAD OPTIONS DELETE TRACE CONNECT PUT PATCH
| 方法 | 描述 |
| GET | 请求指定的页面信息,并返回实体主体 |
| POST |
向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。 数据被包含在请求体中。POST 请求可能会导致新的资源的建立和或已有资源的修改 |
| HEAD | 类似于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头 |
| OPTIONS | 允许客户端查看服务器的性能 |
| DELETE | 请求服务器删除指定的页面 |
| TRACE | 回显服务器收到的请求,主要用于测试或诊断 |
| CONNECT | HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器 |
| PUT | 从客户端向服务器传送的数据取代指定的文档的内容 |
| PATCH | 是对 PUT 方法的补充,用来对已知资源进行局部更新 |
(表格来源:https://www.runoob.com/http/http-methods.html,感谢!)
二、URL
URL:uniform resource locator,统一资源定位系统,在网络中用来表示某处的资源
- URL格式:
http(协议)://www.baidu.com(域名):8080(端口)/news(虚拟目录)/index.php(文件名部分)?parameter=deal&id=35(参数)#name(锚部分)
- parameter=deal&id=35两个参数
- 参数从?后面开始的,第一个参数和第二个参数之间用&连接
三、JDK
JDK:Java的软件开发工具包,方便我们在本地运行Java开发的工具
1.下载JDK时要复制安装JDK的路径
2.配置环境变量
- win7 配置环境变量:
右击计算机-->属性-->高级系统设置-->高级-->环境变量-->系统变量-->path,双击进入,在变量值中最后添加;+路径-->确定
- win10 配置环境变量:
右击计算机-->属性-->高级系统设置-->高级-->环境变量-->系统变量-->path,双击进入,在最后的空白行中直接输入程序的安装路径
验证:在doc命令窗口中输入 java -version 回显下图信息,表示配置环境变量成功
四、BurpSuite
BurpSuite:渗透测试神器,使用JAVA开发,功能齐全,方便渗透测试人员去测试WEB站点
- 功能:爬虫、扫描、拦包、重发、爆破、解码和编码、比较等等
五、使用BP(BurpSuite的简称)拦截数据包
1.下载JDK,配置环境变量(上面有详细步骤)
2.下载一个火狐浏览器,并打开,找到foxyproxy,右击,设置代理服务器,设置过程如下图所示
- 代理服务器:代理网络用户去取得网络信息。形象地说,它是网络信息的中转站,是个人网络和Internet服务商之间的中间代理机构,负责转发合法的网络信息,对转发进行控制和登记
- 过程如图所示:
3.打开BP,点击Proxy --> Options配置,进入一下界面,可以看到BP默认监听8080端口
- Proxy是BurpSuite最核心的部分,通过拦截,查看和修改所有的请求和响应您的浏览器与目标Web服务器之间传递
4.点击Intercept截断 --> 关闭拦截状态Intercept is off(默认开启拦截状态)
- 这里若开启拦截,浏览网页时将请求包拦截,就无法得到服务器的响应,从而浏览不到界面
5.打开phpStudy,启动Apache2、FTP、MySQL
6.在phpstudy_pro/www/中,删掉文件info.php,新建index.html
7.打开火狐浏览器,右键foxyproxy开启代理服务器(或点击foxyproxy,在选择工作模式中修改),狐狸头变蓝,在地址栏中输入127.0.0.1
8.打开BP,开启拦截状态Intercept is on,等待或者刷新火狐浏览器界面,可以看到如图所示界面
- 这里可以看到,请求方式为GET
9.打开BP,关闭拦截状态,打开火狐浏览器,浏览任意网站
- 关闭BP,抓取其他请求包,但是在浏览网站时会出现以下界面
- 点击高级,发现下面没有添加例外,换个网站
- 添加例外后,就能访问了
10.抓取POST包,就要向指定资源提交表单或者上传文件,在发起请求之前,打开BP,开启拦截状态后,发起请求,BP就可以拦截到POST包
