Burp Suite基础抓包改包实操｜Web渗透入门必备

前言

对于刚入门Web渗透和CTF的新手来说，Burp Suite是必不可少的核心工具。绝大多数SQL注入、文件上传、越权访问等题型，都需要依靠抓包、改包、重放请求来解题。

很多新手入门时会遇到抓不到包、代理报错、请求篡改不生效等问题，本文结合Windows环境，从零讲解Burp Suite基础配置、抓包改包完整流程，附避坑解决方案，新手可直接跟着实操落地。

一、工具环境准备

1. 环境配置

• 操作系统：Windows 10/11

• 工具版本：Burp Suite Community Edition（免费社区版）

• 浏览器：Chrome/Firefox（需配置代理）

2. 核心作用

Burp Suite可拦截浏览器与服务器之间的HTTP/HTTPS请求，支持手动修改请求参数、请求头、请求方式，重放数据包、批量测试漏洞，是Web渗透、CTF刷题的基础神器。

二、完整配置步骤

1. Burp代理端口设置

1. 打开Burp Suite，点击顶部 Proxy -> Settings

2. 默认监听地址为 127.0.0.1:8080，确认端口未被占用

3. 勾选 All interfaces，允许本地所有请求拦截

2. 浏览器代理配置

以Chrome浏览器为例：

1. 打开浏览器设置，搜索「代理设置」，进入系统代理面板

2. 开启手动代理，地址填写 127.0.0.1，端口 8080

3. 保存设置，此时浏览器所有网络请求都会经过Burp拦截
重要提示：刷题、测试结束后务必关闭浏览器代理，否则无法正常上网！
3. HTTPS抓包报错解决（新手高频坑）

默认情况下，Burp抓HTTPS请求会出现证书报错、拦截失败，解决方法：

1. 在浏览器输入地址 http://burp

2. 页面右上角点击 CA Certificate，下载 cacert.der 证书

3. 浏览器设置 -> 隐私安全 -> 管理证书，导入下载的证书，设置为受信任根证书

4. 重启Burp和浏览器，HTTPS抓包恢复正常

三、实战：抓包+改包完整演示

1. 开启拦截

Burp顶部 Proxy -> 开启 Intercept is on（拦截开启状态）

2. 抓取请求包

打开靶场链接（本地DVWA/在线CTF靶场），随意点击页面按钮、提交表单，此时请求会被Burp成功拦截。

拦截数据包核心字段解读：

• GET/POST：请求方式

• Host：目标服务器地址

• User-Agent：客户端标识

• Cookie：用户身份凭证（越权、会话劫持核心参数）

• 表单参数：页面提交的核心数据（注入、篡改测试重点）

3. 手动改包重放

1. 直接修改拦截数据包的参数，例如修改 id=1 为 id=2、篡改表单提交内容

2. 修改完成后，点击 Forward 放行请求

3. 服务器会接收修改后的数据包并返回对应响应结果，即可完成漏洞测试

4. 关闭拦截

测试完毕后，点击 Intercept is off，恢复正常请求访问。

四、新手高频报错避坑总结

1. 抓不到任何数据包
原因：浏览器代理未开启、端口和Burp不匹配、代理被插件占用
解决：统一8080端口，关闭VPN、代理插件，重置浏览器代理

2. HTTPS页面拦截失败、显示不安全
原因：未安装Burp根证书
解决：按上文步骤导入信任证书，适配所有HTTPS靶场

3. 改包后无效果
原因：前端JS限制参数、缓存未清除、请求未真正拦截
解决：清空浏览器缓存，确认拦截开启，优先修改后端接收参数

五、总结

Burp抓包改包是Web渗透的入门基石，所有高阶漏洞测试（SQL注入、文件上传绕过、参数篡改）都基于该基础操作。新手无需死记复杂功能，优先掌握「代理配置、抓包、改包、放行」四大核心操作，熟练后可快速上手CTF基础题型。