【工具分享】一款用于指纹识别的Burp插件

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量793 收藏 24
点赞数 22
分类专栏: 网络安全 科技 程序员 文章标签: 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_paipai/article/details/140116616
版权
程序员 同时被 3 个专栏收录
332 篇文章 4 订阅
订阅专栏
网络安全
301 篇文章 3 订阅
订阅专栏
科技
151 篇文章 0 订阅
订阅专栏

0x00 前言

在攻防演习场景下,通常需要对收集到的资产进行指纹识别,以判断目标网站使用的是什么框架或者版本等信息,该BurpSuite插件实现被动指纹识别+网站提取链接+OA爆破,可帮助我们快速识别资产。

0x01 主要功能

  • 浏览器被动指纹识别,已集成Ehole指纹识别库,区分重点指纹和常见指纹,补充部分实战热门漏洞的指纹

  • 提取网站的URL链接和解析JS文件中的URL链接后进行指纹识别

  • 通过图形化界面进行指纹库修改,可导入、导出、重置

  • 使用sqlite存储扫描结果,防止因BurpSuite意外退出而导致数据丢失

OA类支持检测指纹和弱口令爆破组件,可以与本地Packer Fuzzer JS扫描器配合发现隐秘漏洞。

0x02 使用说明

1、下载右侧Releases下的BurpFingerPrint.jar包。

2、如原先有使用旧版本的,需要删除掉原先同BurpFingerPrint.jar同目录下的BurpFingerPrint.db文件后再加载。

3、通过Burp的Extensions模块加载插件,具体操作如下图。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

4、低版本burp可能出现加载不成功的情况,建议使用v2023及以上版本,加载插件出现如下Output内容,代表加载成功。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

5、插件运行页面如下,可自动对代理的数据流量进行识别,目前内置973条规则,能够有效识别出常见的系统指纹。

0x03 免责声明

本工具旨在提供安全评估和漏洞扫描等相关服务,但使用本工具时请注意以下事项:

  • 本工具的使用者应对其使用产生的结果和后果负全部责任。本工具仅作为辅助工具提供,不对使用者所进行的操作和决策承担责任。

  • 本工具尽力提供准确、及时的信息和评估,但无法保证其完全无误。使用者应自行判断和验证本工具提供的信息,并对使用本工具所产生的结果进行独立评估。

请在使用本工具之前仔细阅读并理解上述免责声明。使用本工具即表示您同意遵守上述条款,并自行承担相应责任。

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
网络安全大白
关注
  • 22
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队专题-抓包工具-Burpsuite-fiddler-Wireshark
aming小老弟
12-13 4442
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己会自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能会导致Burp Suite因内存不足而崩溃,从而会丢失渗透测试过程中的相关数据,这是我们不希望看到的。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 424
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Burpsuite插件 BurpFingerPrint专为指纹识别/弱口令爆破而生
Shaun_X
04-17 696
攻击过程中,我们通常会用浏览器访问一些资产,该BurpSuite插件实现被动指纹识别+网站提取链接+OA爆破,可帮助我们发现更多资产。
Burpsuite插件 BurpAPIFinder专为未授权/敏感信息/越权而生
Shaun_X
04-19 1095
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,该插件能让我们发现未授权/敏感信息/越权/登陆接口等。
4.1.8- Web 应用程序使用的组件进行指纹识别
qq_44232452的博客
09-13 659
毫不夸张地说,几乎所有可以想象的Web应用程序的想法都已经投入开发。随着全球大量自由和开源软件项目的积极开发和部署,应用程序安全测试很可能会遇到完全或部分依赖于这些知名应用程序或框架(例如WordPress,phpBB,Mediawiki等)的目标。了解正在测试的 Web 应用程序组件有助于测试过程,并且还将大大减少测试期间所需的工作量。这些众所周知的 Web 应用程序具有特定的 HTML 标头、Cookie 和目录结构,可以枚举这些标头、cookie 和目录结构来标识应用程序。
Burp Suite使用介绍
Dream_ling的博客
01-14 1590
Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.Target(目标)——显示目标目录结构的的一个功能 2.Proxy(代理)——拦截HTT...
渗透技巧之403绕过_指纹识别
热门推荐
N的博客
03-14 7万+
渗透技巧之403绕过_指纹识别
学习网络安全 你必须要学会的20款工具
Z4400840的博客
05-05 867
工欲善其事必先利其器,在新入门网络安全的小伙伴而言。这些工具你必须要有所了解。本文我们简单说说这些网络安全工具吧!
Burp Suite使用介绍(一)
云守护的专栏
07-21 9900
转自:https://www.cnblogs.com/h4ck0ne/p/5154617.html Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.Target(目标)——...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
一款基于java的burpsuite插件.zip
03-24
Burp Suite是一款广泛用于网络安全测试,特别是Web应用程序渗透测试的工具。它由PortSwigger公司开发,提供了一整套的工具,帮助安全专家进行拦截、修改和分析HTTP/HTTPS通信,查找潜在的安全漏洞。 描述 "一款基于...
burp插件分享:图形化版的重算sign和参数加解密插件1
08-03
本文将介绍一款名为“图形化版的重算 sign 和参数加解密插件”的 Burp 插件,这款插件用于网络安全分析和渗透测试场景,尤其是针对那些对参数进行加密或添加签名字段的 App 请求。插件的主要功能包括自动加解密...
子域名拦截工具burpsuite插件
06-27
其中,"子域名拦截工具burpsuite插件"是专门为Burp Suite设计的一款扩展,专门用于拦截和分析网络流量中的子域名信息。 子域名拦截工具的主要作用在于帮助安全研究人员或渗透测试人员发现并收集目标网站的子域名。...
burp插件开发基础一(JAVA篇).pdf
02-14
该篇文章及其后续几篇介绍burp插件开发的文章都是使用Java语言。我们这篇文章主要介绍如何导出burp插件开发所需的API文件、编写burp插件demo、及burp插件加载测试。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 476
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 397
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 315
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
写一个burp插件
05-26
Burp Suite是一款流行的渗透测试工具,它提供了丰富的功能和插件支持。编写Burp插件可以增强Burp Suite的功能,使其更加适应特定的测试需求。 下面是编写一个简单的Burp插件的步骤: 1. 准备开发环境 首先需要安装Java和Eclipse,然后下载Burp Suite的jar文件,将其添加到Eclipse的项目构建路径中。 2. 创建新项目 在Eclipse中创建一个新的Java项目,并将Burp Suite的jar文件添加到项目的库中。 3. 创建插件类 创建一个新的类,并实现IBurpExtender接口。该接口包含了Burp插件的必要方法,例如registerExtenderCallbacks(),用于注册插件并设置回调函数。 ```java import burp.*; public class MyBurpExtender implements IBurpExtender { private IBurpExtenderCallbacks callbacks; @Override public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks) { this.callbacks = callbacks; callbacks.setExtensionName("My Burp Extender"); } } ``` 在上述代码中,我们创建了一个名为MyBurpExtender的类,并实现了IBurpExtender接口。在registerExtenderCallbacks()方法中,我们将IBurpExtenderCallbacks对象保存在成员变量中,并设置了插件的名称。 4. 注册插件 通过Burp Suite的Extender选项卡,加载已编译的插件。在加载后,Burp Suite将调用registerExtenderCallbacks()方法以注册插件并设置回调函数。 5. 编写插件功能 在MyBurpExtender类中,可以编写自己的插件功能,例如: ```java @Override public void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo) { // 如果是请求消息 if (messageIsRequest) { IRequestInfo requestInfo = callbacks.getHelpers().analyzeRequest(messageInfo); String url = requestInfo.getUrl().toString(); callbacks.printOutput("Request URL: " + url); } else { // 如果是响应消息 IResponseInfo responseInfo = callbacks.getHelpers().analyzeResponse(messageInfo.getResponse()); int statusCode = responseInfo.getStatusCode(); callbacks.printOutput("Response Status Code: " + statusCode); } } ``` 在上述代码中,我们重写了processHttpMessage()方法,用于处理HTTP消息。如果是请求消息,则分析请求URL并打印输出。如果是响应消息,则分析响应状态码并打印输出。 6. 运行插件 在Eclipse中打包项目并导出jar文件,然后在Burp Suite的Extender选项卡中加载插件。运行Burp Suite并使用插件进行测试。 以上是编写Burp插件的基本步骤,具体的功能和实现方式可以根据需求进行定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值