工具 | 红队大佬亲测5款推荐的Burpsuite插件,零基础入门到精通,收藏这一篇就够了

最新推荐文章于 2024-09-14 21:10:44 发布
最新推荐文章于 2024-09-14 21:10:44 发布
阅读量253 收藏 7
点赞数 3
分类专栏: 编程 渗透测试 程序员 文章标签: web安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leah126/article/details/142246171
版权
程序员 同时被 3 个专栏收录
742 篇文章 129 订阅
订阅专栏
渗透测试
665 篇文章 30 订阅
订阅专栏
编程
361 篇文章 0 订阅
订阅专栏

一、shiroscan

https://github.com/Daybr4ak/ShiroScan

burp插件Shiroscan主要用于框架、无dnslog key检测

无dnslog检测基于

https://mp.weixin.gg.com/s/do88_4Td1 CSeKLmFghGCuQ

将ShiroScan.jar导入burp,该插件是被动扫描,扫描成功的结果会输出到图形界面中

同时在burp的issue里也会输出相应的详情信息

二、Struts2Burp

https://github.com/harry1080/Struts2Burp

一款检测Struts2 RCE漏洞的burp被动扫描插件,仅检测url后缀为.do以及.action的数据包

检测范围:

  • S2-001

  • S2-003/S2-005

  • S2-007

  • S2-009

  • S2-012

  • S2-013/S2-014

  • S2-015

  • S2-016

  • S2-032

  • S2-045

  • S2-046

  • S2-057

  • S2-059

  • S2-061

  • Devmode

三、APIKIT

https://github.com/API-Security/APIKit

APIKit是APISecurity社区发布的第一个开源项目。

APIKit是基于BurpSuite提供的JavaAPI开发的插件。

APIKit可以主动/被动扫描发现应用泄露的API文档,并将API文档解析成BurpSuite中的数据包用于API安全测试。

四、HackTools

https://github.com/Vicl1fe/HackTools

支持加解密、杀软查询、文本去重等功能。

五、Log4j2Scan

https://github.com/whwlsfb/Log4j2Scan

Log4j2 远程代码执行漏洞,BurpSuite 的被动扫描插件。

支持精准提示漏洞参数、漏洞位置,支持多dnslog平台扩展,自动忽略静态文件。

漏洞检测目前仅支持以下类型

· Url

· Cookie

· Header

· Body(x-www-form-urlencoded, json, xml, multipart)

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]


在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]

leah126
关注
专栏目录
红队渗透打点工具-FindUpload
03-07
FindUpload作为一红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络系统中的文件上传点与登录框,从而加速渗透测试流程,提高工作效率。 FindUpload的特性主要体现在以下几个方面: 1. **批量...
RedCore红队研发从入门精通之书籍推荐篇(密码RedCore).pdf
02-01
RedCore红队研发从入门精通之书籍推荐篇(密码RedCore)
Cobalt Strike是一商业漏洞利用和渗透测试工具(包含客户端和服务端)
06-10
Cobalt Strike是一商业漏洞利用和渗透测试工具,由Strategic Cyber LLC开发。它是一个功能强大的后渗透工具,可以用于模拟攻击,并测试网络防御系统的安全性。Cobalt Strike主要用于渗透测试、红队操作和APT攻击...
goby漏扫工具(红队版)
12-25
【Goby漏扫工具(红队版)】是一专门用于网络安全评估和漏洞扫描的专业软件,主要服务于红队操作,即模拟攻击者的行为来检测和暴露系统安全漏洞。它旨在帮助网络安全专家和管理员发现并修复潜在的安全风险,提高网络...
渗透测试工具-Cobalt Strike
03-21
Cobalt Strike(简称CS)是一广泛应用于网络安全领域的高级渗透测试工具,主要用于模拟攻击者的行为,帮助安全专业人员检测和评估组织的防御能力。这工具以其强大的功能、易用性以及高度的定制化而备受推崇。 *...
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
09-14 2190
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1914
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全】-文件上传漏洞实战-upload-labs(0~16)
weixin_65311462的博客
09-09 1344
准备:一句话木马:
网络安全】-文件上传漏洞
weixin_65311462的博客
09-10 872
文件上传漏洞指hacker能利用网站能让用户上传文件的功能,在上传过程中上传木马,直接连接或配合文件包含漏洞获取webshell,从而导致用户权限丢失,隐私泄露。成功getshell后hacker还可以长期控制受影响的网站或服务器,进行持续性的攻击和破坏,甚至会将受控制的服务器作为攻击其他目标的跳板,利用该服务器的资源和网络带宽发起更广泛的网络攻击。
网络安全】漏洞挖掘:文件上传实现Webshell
等风来
09-10 362
接着,我上传webshell.php文件,文件内容为payload,拦截请求包,将文件名修改为jpg,但回显错误,这说明服务器验证了文件的内容。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-14 769
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
最新发布
哦 卷!
09-14 389
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
网络安全 DVWA通关指南 DVWA SQL Injection (Blind SQL盲注)
YueXuan_521的博客
09-14 726
这篇文章是关于网络安全DVWA(Damn Vulnerable Web Application)的SQL注入挑战指南,主要介绍了Low、Medium、High和Impossible四个安全级别的SQL盲注攻击方法。Low级别通过直接构造SQL语句获取数据库信息;Medium级别使用ASCII码值绕过单引号转义;High级别使用布尔盲注和Cookie传参,并有限制查询结果;Impossible级别通过参数化查询和CSRF令牌防御SQL注入。文章详细展示了攻击步骤和防御措施,帮助读者理解
网络安全(黑客)——自学2024
2401_84466325的博客
09-13 1217
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-09 1510
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全】PHP配置注入漏洞
等风来
09-14 59
auto_prepend_file 是 PHP 配置选项,可以在执行脚本前自动包含指定文件。这里我们设置为 /etc/passwd,试图读取系统敏感信息。
网络安全】URL解析器混淆绕过CSP实现XSS
等风来
09-09 441
许多流行的静态网站生成器都存在图像 CDN 功能,它们通过优化网站中的图像来加快页面加载速度。例如:1、利用内置的next/image组件优化图像(nextjs.org)2、Nuxt Image: Nuxt 应用的图像优化即插即用的图像优化功能,使用内置优化器对图像进行调整(image.nuxt.com)这些工具的目标都是通过将图像对应的 URL 作为输入(通常通过参数或路径),优化图像以减少加载时间。url=url=
网络安全(黑客)自学
白帽子凯哥聊黑客
09-08 1644
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析②(超详细~)
Aluxian_的博客
09-13 253
现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。A 集团的 WebServer 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系 统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行 全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为, 和残留的关键证据信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值