前言对于刚入门Web渗透和CTF的新手来说Burp Suite是必不可少的核心工具。绝大多数SQL注入、文件上传、越权访问等题型都需要依靠抓包、改包、重放请求来解题。很多新手入门时会遇到抓不到包、代理报错、请求篡改不生效等问题本文结合Windows环境从零讲解Burp Suite基础配置、抓包改包完整流程附避坑解决方案新手可直接跟着实操落地。一、工具环境准备1. 环境配置• 操作系统Windows 10/11• 工具版本Burp Suite Community Edition免费社区版• 浏览器Chrome/Firefox需配置代理2. 核心作用Burp Suite可拦截浏览器与服务器之间的HTTP/HTTPS请求支持手动修改请求参数、请求头、请求方式重放数据包、批量测试漏洞是Web渗透、CTF刷题的基础神器。二、完整配置步骤1. Burp代理端口设置1. 打开Burp Suite点击顶部 Proxy - Settings2. 默认监听地址为 127.0.0.1:8080确认端口未被占用3. 勾选 All interfaces允许本地所有请求拦截2. 浏览器代理配置以Chrome浏览器为例1. 打开浏览器设置搜索「代理设置」进入系统代理面板2. 开启手动代理地址填写 127.0.0.1端口 80803. 保存设置此时浏览器所有网络请求都会经过Burp拦截重要提示刷题、测试结束后务必关闭浏览器代理否则无法正常上网3. HTTPS抓包报错解决新手高频坑默认情况下Burp抓HTTPS请求会出现证书报错、拦截失败解决方法1. 在浏览器输入地址 http://burp2. 页面右上角点击 CA Certificate下载 cacert.der 证书3. 浏览器设置 - 隐私安全 - 管理证书导入下载的证书设置为受信任根证书4. 重启Burp和浏览器HTTPS抓包恢复正常三、实战抓包改包完整演示1. 开启拦截Burp顶部 Proxy - 开启 Intercept is on拦截开启状态2. 抓取请求包打开靶场链接本地DVWA/在线CTF靶场随意点击页面按钮、提交表单此时请求会被Burp成功拦截。拦截数据包核心字段解读• GET/POST请求方式• Host目标服务器地址• User-Agent客户端标识• Cookie用户身份凭证越权、会话劫持核心参数• 表单参数页面提交的核心数据注入、篡改测试重点3. 手动改包重放1. 直接修改拦截数据包的参数例如修改 id1 为 id2、篡改表单提交内容2. 修改完成后点击 Forward 放行请求3. 服务器会接收修改后的数据包并返回对应响应结果即可完成漏洞测试4. 关闭拦截测试完毕后点击 Intercept is off恢复正常请求访问。四、新手高频报错避坑总结1. 抓不到任何数据包原因浏览器代理未开启、端口和Burp不匹配、代理被插件占用解决统一8080端口关闭VPN、代理插件重置浏览器代理2. HTTPS页面拦截失败、显示不安全原因未安装Burp根证书解决按上文步骤导入信任证书适配所有HTTPS靶场3. 改包后无效果原因前端JS限制参数、缓存未清除、请求未真正拦截解决清空浏览器缓存确认拦截开启优先修改后端接收参数五、总结Burp抓包改包是Web渗透的入门基石所有高阶漏洞测试SQL注入、文件上传绕过、参数篡改都基于该基础操作。新手无需死记复杂功能优先掌握「代理配置、抓包、改包、放行」四大核心操作熟练后可快速上手CTF基础题型。