burp笔记

最新推荐文章于 2024-09-03 09:31:11 发布
最新推荐文章于 2024-09-03 09:31:11 发布
阅读量2.2k 收藏 1
点赞数 2
分类专栏: Web 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/84841162
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

对payload进行处理

在这里插入图片描述
有的密码在前端进行了md5操作,可以在Payload Processing中对payload进行处理。

Burp操作数字型爆破

在postion处加上符号

在payload处进行设置

在这里插入图片描述

对结果过滤

在这里插入图片描述

Burp插件

burp插件目录:
C:\Users\Administrator\AppData\Roaming\BurpSuite\bapps
在这里插入图片描述

常用插件

JSON Beautifier

美化请求/响应的JSON展示

Active Scan ++

增强了默认的scanner功能

Collaborator Everywhere

在各种可能的地方插入Collaborator 的地址,看有没有域名解析,或者HTTP请求。
因为有时候可以插入的Collaborator地址的地方很多,而且到时候即便触发了,也不知道是什么地方触发的,甚至有时候并不会立马触发,而是间隔几分钟、几小时或者24小时,
比如这个:
在这里插入图片描述
Netflix 会每隔4小时访问Referer字段的url,并且设置UA为iPhone。

于是作者写了这个插件,
在这里插入图片描述

参考:https://portswigger.net/research/cracking-the-lens-targeting-https-hidden-attack-surface

BurpJSLinkFinder

参考:
https://github.com/portswigger/js-link-finder
从JS文件中找到隐藏的endpoint。

caiqiiqi
关注
专栏目录
Burpsuite搜集js信息(BurpJSLinkFinder
malathonsec
03-23 4665
插件地址: GitHub - InitRoot/BurpJSLinkFinder: Burp Extension for a passive scanning JS files for endpoint links. jython下载地址: Downloads | Jython 我的使用版本: https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar 开始安装
【网络安全 | 渗透工具】JS文件信息收集工具LinkFinder安装使用教程
等风来
04-17 1214
JavaScript文件可能会泄露敏感信息,如注释中的机密信息、内部IP地址,以及包含未授权访问或其他漏洞的URL。手动检查这些信息效率低下,而该工具——LinkFinder,可用于自动收集JavaScript文件中的信息。
Burpsuite配置BurpJSLinkFinder进行网页JS链接提取
Websec
03-05 1487
下载开源项目,并且将其py文件(FransLinkfinder.py)放到python环境的lib\site-packages目录下。然后配置python环境的文件位置(需要精确到Lib\site-packages)BurpJSLinkFinder用于被动扫描 JS 文件获取js文件当中的链接。首先是配置jython standalone JAR的文件位置。3.2 然后去配置burpsuite的extender。点击add,选择python,将其文件导入进去即可。路径的话禁止中文命名,否则会报错。
【网络安全渗透测试零基础入门必知必会】之BurpSuite密码爆破实例演示,零基础入门到精通,收藏这一篇就够了5
Libra1313的博客
07-27 754
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段暴力猜解与防御第5篇。本文主要讲解Burpsuite密码破解。
JS文件中的秘密
siu~
05-16 3722
JS文件是JavaScript文件的缩写,是一种用于网页开发的脚本语言文件。JS文件通常包含一些函数和变量,可以通过调用这些函数和变量来实现网页中的动态效果和交互。常见的JS文件包括jQuery、React、Vue等库和框架,它们提供了丰富的功能和组件,可以大大提高网页开发的效率和质量。在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。
Burp Suite在安全测试中好用的插件
Aevery的博客
02-17 4796
一些好用的插件
js文件 格式_JSFind:扫描JS文件中链接的Burp脚本
weixin_39680208的博客
11-11 556
1 简介随着SPA网页的兴起,js文件中会包含大量前端路由和后端api的链接信息,获取到这些链接能提供更多的有效信息。burp自带的JS Link Finder效果很不错,不过找到的链接不能直接复制使用,需要再做处理,使用起来很不方便,根据js-link-finder使用burp-clj脚本重新实现,并根据LinkFinder提供的正则表达式,新增了REST API的支持,现在可以直接通过jsli...
Burpsuite笔记
weixin_34406086的博客
09-04 451
Burpsuite介绍: 一款可以进行再WEB应用程序的集成攻击测试平台。 常用的功能: 抓包、重放、爆破 1.使用Burp进行抓包 这边抓包,推荐360浏览器7.1版本(原因:方便) 在浏览器设置代理: 360浏览器:工具->代理服务器->代理服务器设置 设置好代理:127.0.0.1:8080 -> 确定 Burpsuit...
burpsuit学习笔记
qq_38348692的博客
07-19 694
burpsuit学习笔记 burpsuit intruder 暴力破解: (1).payload type a. simple list:简单列表最简单的Payload类型,通过配置一个字符串列表作为Payload,也可以手工添加字符串列表或从文件加载字符串列表 b. runtime file:运行时文件 ——指定文件,作为相对应Payload位置上的Payload列表Burp Intruder...
burpsuite安装教程
04-08
burpsuite安装教程 首先,从官网下载您需要的Burp Suite版本。 安装Java Development Kit(JDK)。Burp Suite是用Java编写的,因此需要预先安装Java环境才能运行。如果您已经安装了JDK,则可以跳过此步骤。 解压缩...
burpsuite抓取手机app数据包(通过笔记本开热点方式)
weixin_45018653的博客
08-26 2235
burpsuite抓取手机app数据包(通过笔记本开热点方式) 1,点击笔记本右下方网络图标,出现移动热点,右键转到设置 进去之后设置热点名称密码,手机连接热点,笔记本查看连接设备的网段,这儿可以看到是192.168.137网段。 2.Windows+R键弹出运行框,输入cmd,然后输入命令ipconfig,查看笔记本与连接设备同一网段的IP地址。 3.配置burpsuite dos环境下输入命令java -jar burp-loader-keygen.jar启动burpsuite,然后在Burpsuit
Python-LinkFinder是一个python脚本用于发现JavaScript文件中的endpoints及其参数
08-10
LinkFinder是一个python脚本,用于发现JavaScript文件中的endpoints及其参数
Burpsuite初步入门笔记
AlienEowynWan的博客
08-21 193
Burpsuite初步入门 1.JAVA环境的配置 1.下载:首先在搜索引擎搜索jdk,找到网站,下载,记住安装路径。(注:高版本的JAVA不能兼容低版本的burp) 2 .环境变量配置:右键点击我的电脑,选择属性,选择高级系统设置,点击环境变量选项,在打开的环境变量对话框后,单击下方系统变量下的新建按钮,然后输入JAVA_HOME,对应的变量值为jdk安装的目录,点击确定。然后新建变量名:cla...
kali burp suite笔记
qq_28719743的博客
09-15 1515
安装证书 现在很多网站都是https的了,所以还是先装一下证书 打开burp 修改浏览器代理 访问http://burp/ 右上角CA证书,点击保存 导入刚下载的证书 完成 未完待续...
Burp自用插件
5L2g556F5ZWl77yf
03-29 7872
文章目录logger++Software Vulnerability ScannerTurbo Intruderreflectorchunked-coding-converterburp-unauth-checkerBurpJSLinkFinderburp-sensitive-param-extractorBurpSuite_403BypasserAutozieHaEBurpFastJsonScanShiro Echo Toolssrf-kingbypasswaf 一些插件,基本上都是在github上搜集来
JS文件信息收集工具-LinkFinder
weixin_50464560的博客
09-09 699
0x00 前言我们在渗透测试的之前,信息收集是必要的步骤,而JS文件中往往会暴露出很多的信息,比如一些注释的中铭感信息,内网ip地址泄露等等,还会有一些绝对路径或者相对路径的url,而这些url中很有可能就存在着一些未授权访问或者其他更高级的漏洞,但是手动的去一个个查看的效率太过于地下,所以这里分享一个JS文件的信息收集工具——LinkFinder 0x01 LinkFinder介绍LinkFinder是一个Python脚本,旨在发现JavaScript文件中的端点及其参数。这样,渗透测试人员和Bug猎手
BurpJSLinkFinder 使用教程
最新发布
gitblog_01107的博客
09-03 338
BurpJSLinkFinder 使用教程 BurpJSLinkFinderBurp Extension for a passive scanning JS files for endpoint links.项目地址:https://gitcode.com/gh_mirrors/bu/BurpJSLinkFinder 1. 项目的目录结构及介绍 BurpJSLinkFinder 是一个用于 Bu...
BurpSuite插件
mingyqf的博客
02-12 9466
Burp Extensions BurpSuite 相关收集项目,插件主要是非BApp Store(商店) 插件的安装 JAVA编写的插件: Python编写的插件: Python编写的插件,需要使用Jython。Jython本质上是一个Java应用程序,Jython允许编码人员使用Java编码调用Python库。也可以使用Python调用Java的库。 Jython下载地址: https://www.jython.org/download 下载好之后,添加到Burp。 导入Python编写的插件,导
eclipse 开发burp插件
07-25
- *1* *3* [Burpsuite插件开发(网络资源学习笔记_burp插件开发)](https://blog.csdn.net/m0_38036918/article/details/122239333)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值