原文地址:https://www.sqlsec.com/2019/11/macbp.html
众所周知国内我们使用的 Burp Suite 大多数是大佬们分享出来的专业破解版的 Burp Suite,每次启动的时候都得通过加载器来启动 Burp Suite,那有没有更加优雅的方式呢?下面就开始水这一篇文章了,告诉大家如何在 MAC 下配置基本的渗透测试环境。
Launchpad 启动台效果图:
运行Burp Suite的时候,只需要触摸板上四指合拢打开启动台 LaunchPad,鼠标点一点就可以成功打开 BP 了,要的就要这种效果。
Dock 程序坞效果图:
安装步骤:
一、下载需要用到的安装包
下载链接:
链接: https://pan.baidu.com/s/1OfHc9ZH_-3nU9DJfN6lO8Q 密码: 21fi
二、安装Java环境
下载后的安装包里,有一个jdk-8u251-macosx-x64.dmg的安装包,双击安装就可以了。
三、新建工作流程
借助 macOS 自带的自动操作 automator.app 可以轻松地将命令行封装成一个应用程序出来:
首先打开自动操作,选择左下角的新建文稿:
选择文稿类型为「应用程序」,点击「选取」:
左侧列表中找到运行Shell脚本然后拖入进去:
shell命令:cd /Users/username/Burpsuite && java -noverify -Xdock:icon=BurpSuite.icns -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v2.0.11beta.jar
提示:把shell命令中的 cd后的路径改为你实际下载后的文件路径。
把上边改好后的命令行粘贴进来,点击右上角运行测试一下看看能不能成功启动:
OK 测试应该是没有问题的,然后将 BP 关掉,command+s保存一下,保存的文件格式选择应用程序,自定义命名一下,然后保存到应用程序中:
然后就可以在启动台LaunchPad中找到这个孤零零的应用程序了,点击一下就可以成功启动 BP 了:
四、美化 BP 图标
当然这么丑的图标,国光我是看不下去的,下面来使用上文中下载的 BP 图标文件。
在「应用程序」文件夹中找到我们刚刚制作的「BurpSuite」应用程序,「右键」点击「显示简介」,然后将下载好的icns图标文件拖入到简介的左上角:
最后的效果如下:
OK 美化成功,现在就可以在 mac 下优雅地启动 BP 了~~
五、激活
原文地址 blog.csdn.net
双击打开burp-loader-keygen.jar。
点击run。然后全选把license复制到弹窗中,然后点击NEXT。
点击Manual activation(手动激活) 按钮,
点击右边弹窗的copy request复制字符串粘贴到左边第二个框内,
左边会第三个框会生成激活码,全选复制,到右边弹窗点击Paste Response粘贴进去,点击NEXT。
这样就成功激活了。
可以打开burpsuite中Help下的license查看激活信息。
六、Firefox Dev
经国光本人一个个测试,最终发现使用 Firefox 的 Dev 版本中的 56.0b9 版本可以完美地安装老版本的 Hackbar 插件,安装过后,手工注入的速度嗖嗖的上涨,并且 Firefox 可以完美的导入 BP 的 SSL 证书,很方便我们后期使用 BurpSuite 抓取 HTTPS 网站。
| 平台 | 下载地址(官方) | 备用下载(Onedriver) |
|---|---|---|
| Windows64 位 | Firefox Setup 56.0b9.exe | Firefox Setup 56.0b9.exe |
| Windows32 位 | Firefox Setup 56.0b9.exe | 32 位 国光比较懒 不提供备用下载 |
| Linux x86_64 | firefox-56.0b9.tar.bz2 | firefox-56.0b9.tar.bz2 |
| macOS | Firefox 56.0b9.dmg | Firefox 56.0b9.dmg |
关闭自动更新
首先下载完启动Firefox Developer Edition一定要断网!断网!断网!因为火狐的策略问题,默认会自动更新,联网安装的话,刚刚安装完的时候就会被强制更新最新版本了,所以断网安装大法保平安。安装完成后,设置里面勾选不检查更新。然后就可以恢复联网了:
七、允许第三方插件
火狐安全策略的原因是无法顺利安装一些第三方插件的,得手动去高级选项里面关闭一下,浏览器打开:
点击我了解此风险:
鼠标下滑,找到倒数第 3 和第 4 个选项,即xpinstall.signatures.required和xpinstall.whitelist.required,将值切换为false:
然后就可以愉快地安装一些第三方插件了,下面开始安利一款 Web 安全必备的 Hackbar 插件…
八、Hackbar 插件
修改了浮夸的界面,爱护眼睛才是第一. 感谢 r0oth3x49 升级!By Darkmelody.
| 文件名 | 备用链接 |
|---|---|
| hackbar.1.6.5.xpi | 蓝奏云 |
国光自从用了这款 Hackbar 插件后,手工注入的速度简直提升到了另一个阶级了, 通过F9开启和隐藏也十分地方便。
尴尬的是过去半年了 国光我才发现在文章中这个 Hackbar 的链接放错了,但是居然没有人反馈 =,= 这个就很玄学了 现在已经修正下载链接了
九、Proxy SwitchyOmega 插件
Proxy SwitchyOmega 官方下载地址 配合 BP 代理神器,切换代理很方便,设置好 BP 的代理后切换burpsuite
十、SSL 证书
使用已经代理了 BP 的浏览器访问如下地址:
会得到如下界面,点击右上角的CA Certificate证书,然后保存好der证书文件:
浏览器设置里面找到隐私与安全,找到查看证书的选项:
证书机构,点击导入,选择刚刚下载好的der证书导入即可:
记得下面 3 个都要勾选 要勾选 要勾选:
OK 现在你的 BP 就可以在 Firefox 下美滋滋地抓取 HTTPS 的数据包了:
