本文详细讲解了 BurpSuite 在 Windows 环境下的安装配置流程。内容涵盖 JDK 17 的安装与环境变量配置、BurpSuite 专业版的下载与许可证激活方法、浏览器 CA 证书导入及 HTTP 代理设置。此外,还提供了通过批处理和 VBS 脚本实现一键快捷启动的方案,并补充了常见问题的排查思路,帮助用户快速搭建安全测试环境。
Burp Suite 是用于攻击 Web 应用程序的集成平台,包含了许多工具。Burp Suite 为这些工具设计了许多接口,以加快攻击应用程序的过程。本文主要对 BurpSuite 安装过程中使用到的工具链接做一个备忘,以便于后续安装和配置。
首先下载需要使用到的工具。BurpSuite 版本需根据自身需求选择,注意要与 JDK 版本匹配。部分图片因版权原因无法展示,请参照文字步骤操作。
访问 Portswigger 官网下载专业版社区版: https://portswigger.net/burp/releases/professional-community-2022-12-5?requestededition=professional&requestedplatform=
Oracle JDK 下载页面: https://www.oracle.com/java/technologies/downloads/#jdk18-windows
双击下载的 JDK 安装包开始安装。
在安装过程中点击 Change 修改 JDK 的安装路径,建议安装在非系统盘,例如 E:\Java 17.0.5。
等待安装进度条结束,提示安装成功即可。
按下键盘快捷键 Win + R,输入 sysdm.cpl 并回车。
在弹出的窗口中选择 高级 选项卡,点击下方的 环境变量 按钮。
在 系统变量 区域中,点击 新建,添加以下信息:
JAVA_HOMEE:\Java 17.0.5(请替换为你实际安装的目录路径)在 系统变量 中找到 Path 变量,选中后点击 编辑,添加以下两项:
%JAVA_HOME%\bin%JAVA_HOME%\jre\bin打开命令行(CMD),输入以下命令查看版本号:
java -version
如果显示具体的 Java 版本信息,则说明环境配置成功。
将下载好的 BurpLoaderKeygen.jar 和 burpsuite_pro_v2022.12.5.jar 放在同一个文件夹中。
双击运行 BurpLoaderKeygen.jar。
打开 BurpSuite 软件,在启动界面选择 License Code 选项框,将注册机生成的许可证密钥复制粘贴进去。
选择 Manual activation 模式。
将 BurpSuite 软件中的激活请求代码粘贴到注册机的第二个选项框中,注册机会生成激活响应代码。
将注册机生成的激活代码复制粘贴到 BurpSuite 软件的第三行选项框中,点击 Next。
看到提示许可证已成功安装并激活后,点击 Next 即可开始使用。
文中使用的环境基于 Google Chrome 浏览器,其他浏览器过程类似。
在 BurpSuite 软件中,确保 Proxy -> Options 下的 Intercept is on 已开启。
在浏览器中访问 http://127.0.0.1:8080/。
点击页面上的 CA Certificate 下载软件需要的信任证书。
在 Chrome 浏览器中选择 设置 -> 隐私和安全 -> 管理证书。
在 受信任的根证书颁发机构 选项卡中,点击 导入,选择刚刚下载的 CA 证书。
按照向导点击 下一步 直至完成,确保证书被添加到受信任列表中。
打开 Chrome 设置,选择 隐私设置和安全性 -> 打开代理设置。
在 Internet 属性窗口中,选择 连接 选项卡,点击 局域网设置。
勾选 为 LAN 使用代理服务器,设置地址为 127.0.0.1,端口为 8080。
安装好浏览器 CA 认证证书及代理后,即可正常使用 Burp Suite 软件进行抓包、改包等功能进行渗透测试操作。
关闭所有浏览器窗口并重新启动。
在 BurpSuite 软件中开启 Intercept 进行抓包测试。
浏览器访问 www.baidu.com,观察 BurpSuite 是否捕获到请求。若能看到请求详情,说明抓包正常。
因为 BurpSuite 是一款使用 Java 语言编写的安全审计与扫描套件,每次启动都需要调用 Java 启动参数来执行。为了方便工作和学习,我们可以自行设置 BurpSuite 的快捷启动。
在 BurpSuite 目录中创建一个 run.bat 批处理文件和一个 start.vbs 快捷启动脚本。
为文件设置 BurpSuite 启动参数。关于启动参数可以参考 BurpLoaderKeygen 文件包中的说明。设置成功后点击 run.bat 批处理文件可以打开 BurpSuite 软件。
javaw -noverify --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -javaagent:BurpLoaderKeygen.jar -jar burpsuite_pro_v2022.12.5.jar
参数说明:
-noverify:禁用字节码验证,提高启动速度。--add-opens:针对 JDK 9+ 模块系统的开放权限,解决反射访问限制问题,确保 GUI 组件正常运行。-javaagent:加载注册机 Agent,实现许可证绕过。为文件设置 BurpSuite 快捷启动参数。设置成功后,点击 start.vbs 文件会调用 run.bat 批处理文件用来打开 BurpSuite 软件。
Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c run.bat", vbhide
给 start.vbs 快捷启动脚本添加一个快捷方式,重命名为 BurpSuite 并设置一个 logo 图标。
双击快捷方式启动 BurpSuite,验证是否可以正常启动且无需重复输入激活码。
run.bat 中的 --add-opens 参数是否完整。至此 Burp Suite 安装配置完成。通过上述步骤,您可以完成从 JDK 环境搭建到 BurpSuite 激活及代理配置的全过程。如果在操作过程中遇到特定错误,建议查阅官方文档或相关技术社区的最新解决方案。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online