BurpSuite是一个web渗透利器，可以抓包改包也可以扫描漏洞，将漏洞扫描和利用集成化一体，更可以支持外部插件拓展，非常牛的工具。

那我们怎么使用呢？

使用BurpSuite

老版本中BurpSuite需要在浏览器中配置本地代理，还需要导入证书，非常不方便，新版本中BurpSuite自带一个浏览器，不需要经过浏览器代理直接抓取。

一、抓包

假设我们想看后台登录情况，我们在FOFA等平台找到了一个后台管理页面。

打开Burp，我们第一步找到“代理”，然后打开内置浏览器，页面是这个样子：

之后在URL输入框中输入后台地址：

 看到我们想要的用户名和密码后，我们去Burp的代理模块，把“拦截代理”开启。

 之后回到内置浏览器中，在用户名和密码处随便输入用户名和密码，然后回车，Burp就会抓取了。

重点我们看admin和passwd部分。可以看到这个网站的表单是没有经过任何加密处理的，像这样情况就非常利于我们黑入网站。

 以上就是抓包部分。接下来我们来看解码器。

二、解码器

我们把密码部分勾选，鼠标右键此处，点击发送到解码器。

点击发送到Decdoer后，Decoder处就会高亮闪烁，提示信息发过来了。我们可以对右侧遍进行编码解码。以下是对密码处进行base64编码处理结果。

 这个有什么用呢？用处还是比较大的，现在的网站都是RSA加密了，如果遇到MD5编码加密过的数据我们是需要把我们的明文数据经过MD5处理后再发包，因为MD5是不能还原的，现在所谓的密码爆破都是撞库，对方经过什么编码，我们也要对我们的字典进行编码。原理是一样的。

---

声明！
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)