最新BurpSuite2023.9.1专业破解版(开箱即用版)

截图演示

中文版

英文版

更新说明

此版本引入了新的 Repeater 功能，该功能基于 James Kettle 的演讲“粉碎状态机：Web 竞态条件的真正潜力”中讨论的技术，该演讲首次在 Black Hat USA 2023 上提出。Repeater 的新单数据包攻击功能可消除网络抖动，从而实现您并行发送多个请求。这些请求同步在非常小的时间窗口内到达，从而使测试竞争条件变得更加简单。

我们还为 Burp Suite Professional 和 Burp Scanner 引入了各种其他改进，包括在 Intruder 中重用 HTTP/1 连接的能力、Target 工具中新的项目级爬行路径选项卡以及在扫描期间支持 GraphQL introspection。

中继器并行发送组

我们在中继器的组发送选项菜单中添加了发送组（并行）选项。当您为选项卡组选择此选项时，Repeater 会立即发送来自该组的所有选项卡的请求。

Repeater 同步并行请求以确保它们全部同时完整到达。它根据所使用的 HTTP 版本使用不同的同步技术：

• 通过 HTTP/2 发送时，Repeater 使用单数据包攻击发送组。这是通过单个 TCP 数据包发送多个请求的地方。
• 通过 HTTP/1 发送时，Repeater 使用最后一个字节同步。这是通过并发连接发送多个请求的情况，但组中每个请求的最后一个字节被保留。经过短暂的延迟后，最后的字节会同时沿着每个连接发送。

并行发送同步请求使得测试竞争条件变得更加容易。有关如何执行此操作的更多信息，以及一些故意存在漏洞的实验室供您练习，请查看网络安全学院上的竞争条件主题。

有关并行发送中继器组的更多信息，请参阅发送分组 HTTP 请求。

Montoya API变更

作为这些新的 Repeater 功能的一部分，我们向 Http 接口添加了两个 sendRequests 方法。这些方法使您能够构建可以并行发送 HTTP 请求并检索其响应的扩展。如果需要，您还可以显式指定请求应使用的 HTTP 模式。

在 Intruder 中重用 HTTP/1 连接来加速攻击

您现在可以控制 Intruder 是否重用连接来发出多个 HTTP/1 请求。这可以大大提高使用 HTTP/1 时的攻击速度，因为 Burp 不需要为每个请求打开一个新连接并在收到响应后关闭它。在“入侵者(Intruder)”>“设置(Settings)”>“HTTP/1 连接重用(HTTP/1 connection reuse)”中找到此内容。有关详细信息，请参阅 HTTP/1 连接重用。

安全打开第三方项目文件

我们引入了一种新的启动设置，使您能够信任或不信任项目。如果您取消选择“信任此项目”，Burp 现在可以删除可能在项目文件中配置的潜在有害设置。

如果您要打开来自未知或不受信任来源的项目文件，这尤其有用。在启动向导中或在“设置(Settings)”>“套件(Suite)”>“启动行为(Startup behavior)”>“无法识别的项目文件(Unrecognized project files)”中找到此设置，有关详细信息，请参阅启动行为。

指定硬件令牌和智能卡的中间 CA 证书

现在，您可以在为硬件令牌和智能卡添加新的 PKCS#11 证书时设置中间证书。这使您能够测试不直接信任中间 CA 的目标应用程序。有关更多信息，请参阅客户端 TLS 证书。

在Repeater上设置自定义SNI值

您现在可以在 Repeater 中设置自定义 SNI 值。这使您能够使用 SNI 中的 Collaborator 负载重现 Scanner 检测到的外部服务交互问题。有关详细信息，请参阅 HTTP 中继器选项卡。

项目级扫描爬网路径

项目中的所有扫描现在可以共享爬网路径信息。这提高了扫描效率，使 Burp Scanner 能够在运行新扫描时建立在它已经发现的路径上

因此，我们在目标工具中添加了一个新的“爬网路径”选项卡。此选项卡以与现有扫描结果“爬网路径”选项卡相同的方式显示路径信息，但由所有扫描而不是单个扫描填充。您运行的任何新扫描都可以利用并添加到此选项卡中显示的信息中。

Isolated扫描

作为全局爬网路径工作的一部分，我们在扫描启动器中添加了“运行隔离扫描”选项。孤立扫描的结果不会出现在“目标”>“站点地图”或“目标”>“爬网路径”选项卡中。例如，如果您想要测试设置而不影响“实时”扫描结果，则此功能非常有用。

您可以从任务(Tasks) > 查看详细信息(View details) > 目标选项卡(Target)查看隔离扫描的站点地图和爬网路径信息。此选项卡上显示的信息仅适用于选定的扫描任务。

GraphQL introspection

Burp Scanner 现在可以在 GraphQL 端点上运行内省查询，以获取有关可用查询和突变的信息。如果内省查询成功，Burp Scanner 会向发现的每个查询和突变发送进一步的请求，以尝试发现尽可能多的攻击面。要启用 GraphQL 自省，请在扫描配置的“杂项”部分中选择新的“执行 GraphQL introspection”设置。

如果在爬网中找不到任何 GraphQL 端点，Burp Scanner 现在还可以尝试使用常见端点后缀列表来猜测 GraphQL 端点。要启用 GraphQL 端点猜测，请在扫描配置的“杂项”部分中选择新的“测试通用 GraphQL 端点”设置。

自动扫描限制

我们在扫描启动器的资源池部分添加了新的自动限制设置。您现在可以配置哪些 HTTP 响应代码应导致 Burp Scanner 在请求之间引入短暂的延迟。以前，Burp Scanner 只能在服务器响应 HTTP 429 代码时限制请求。

Burp Scanner 的其他改进

我们改进了抓取优化，以减少错过有趣内容的机会。具体来说，Burp Scanner 现在将使用具有不同可见文本的相同事件侦听器的可点击对象视为单独的实体，并访问它们全部。

Bug修复

我们修复了一些小错误，包括：

• 我们修复了在检查 302/400 响应后检查 200 响应时导致代理响应面板冻结的问题。
• 我们提高了“发送至组织者”功能的可靠性。
• 我们修复了以下问题：在较旧版本的 Burp 中 Intruder 生成的请求/响应在较新版本中无法看到。
• 我们修复了一个错误，即爬虫并不总是等待导致 DOM 突变返回的缓慢异步查询。这会导致页面加载缓慢并在某些情况下丢失元素。
• 我们修复了一个错误，即当 Burp 升级到最新版本时，Burp Organizer 项目不会保留。

使用方法

双击下图划红线的.VBS文件即可(文件内容和下图一样, 就不再上传图片了)

许可证失效激活教程

1、打开BurpSuite文件夹

2、找到burpsuitloader.jar

3、右键burpsuitloader.jar，点击打开方式，选用Java运行库打开，如下图：

4、点击CNBurp(无CMD窗口).VBS或ENBurp(无CMD窗口).VBS任意一个都可以，打开BurpSuite

5、点击接受

6、点击Copy复制许可证密钥，粘贴到BurpSuite里，粘贴后点击下一步，如下图：

7、点击手动激活

8、复制请求到破解程序的Activation Request里，如下图：

9、复制后，把破解程序下方显示的Activation Response中的数据，点击Copy，然后粘贴到BurpSuite里，点击下一步，如下图：

10、激活完成

下载说明

如遇资源失效请通过右侧客服或者交流群联系站长

下载地址