Burp Suite 实用插件推荐

最新推荐文章于 2024-08-06 16:35:03 发布
最新推荐文章于 2024-08-06 16:35:03 发布
阅读量2.7w 收藏 42
点赞数 11
分类专栏: 应用安全 文章标签: burp suite burpsuite插件 J2EEscan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/51213103
版权

0x00 前言

    使用过burpsuite的同学们都知道,这个burpsuite有社区版(免费版) 和专业版(收费版,349美元一年), 在我们平时渗透测试当中,这个可是一把神器, 它和sqlmap 一样极其厉害,但它的主要作用以拦截和修改流量包和检测常见Web漏洞为主,其中也有常规的加密/解密功能、入侵功能、重放功能等等

    我们都知道无论是收费版还是免费版,burpsuite 这个软件还是提供了一定数量的插件的,这些插件极大地方便了我们平时的渗透工作。插件数量不少,那么具体哪个插件比较实用昵?

0x01 常用插件

 1、J2EEScan

    该插件能够检测JBoss、Tomcat、Weblogic、Oracle 应用服务器、Jetty、Apache Axis、JBoss SEAM、Java Server Faces、Apache Wicket、Grails、Apache Struts等数十种CVE漏洞,实在是一个很好的安全扫描插件。

插件地址:https://github.com/ilmila/J2EEScan/

加载方法:burpsuite 主界面-->"Extender”--> "Options"-->"Java Environment "-->"Select file.." 选择该文件进行加载。

2、activeScan++

    该插件主要是在主动扫描和被动扫描时,为了增强扫描漏洞效果,使用python编写的,所以要加载python 环境

加载方法:burpsuite 主界面-->"Extender”--> "Options"-->"Java Environment "-->"Select file.."

点击按钮" Select file..", 然后选择 E:\penetration\burpsuite_pro\jython-standalone-2.7.0.jar#前提下载该jpython 文件。

安装方法:burpsuite 主界面-->"Extender” --> " Bapp Store" -->从“ Bapp Store" 界面左侧下拉找到"activeScan++",导航到右侧点击“ install"

3、sqlmap4burp++ 

方便调用sqlmap直接进行sql注入漏洞检测。

插件地址:http://github.com/c0ny1/sqlmap4burp-plus-plus

加载方法:burpsuite 主界面-->"Extender”--> "Options"-->"Java Environment "-->"Select file.." 选择该文件进行加载。

4、decoder-improved-all

这是对burp自带decode的一个优化版本,可以解码一些burp没用的加密算法。改进的解码器支持解码器的所有编码,解码和哈希模式。 改进的解码器可以对URL,HTML,Base64,ASCII十六进制,GZIP和zlib进行编码和解码。 此外,改进的解码器可以使用MD2,MD5,SHA,SHA-224,SHA-256,SHA-384和SHA-512哈希数据

安装方法:burpsuite 主界面-->"Extender” --> " Bapp Store" -->从“ Bapp Store" 界面左侧下拉找到"decoder",导航到右侧点击“ install"

0x02 专项漏洞插件

1、Heartbleed插件

    经典的Heartbleed 心脏出血漏洞,说不定在很多服务器上存在窝!

安装方法:burpsuite 主界面-->"Extender” --> " Bapp Store" -->从“ Bapp Store" 界面左侧选择" Heartbleed ", 导航到右侧点击“ install"

2、freddy-deserialization-bug-finder

帮助检测和利用序列化库/ API,主要检查可能存在的反序列化漏洞。

安装方法:burpsuite 主界面-->"Extender” --> " Bapp Store" -->从“ Bapp Store" 界面左侧选择" freddy-deserialization-bug-finder ", 导航到右侧点击“ install"

3、fastjson漏洞

主要检查 fastjson漏洞

下载地址:https://github.com/uknowsec/BurpSuite-Extender-fastjson

下载地址:https://github.com/Maskhe/FastjsonScan

加载方法:burpsuite 主界面-->"Extender”--> "Options"-->"Java Environment "-->"Select file.." 选择该文件进行加载。

4、shiro漏洞

通可以使用 已知的key 进行 扫描选项, 利用了burp内置的 dnslog api(Collaborator) 基于ysoserial的Gadgets URLDNS进行DNS查询验证此漏洞

下载地址:https://github.com/bigsizeme/shiro-check

下载地址:https://github.com/pmiaowu/BurpShiroPassiveScan/releases

下载地址:https://github.com/potats0/shiroPoc

加载方法:burpsuite 主界面-->"Extender”--> "Options"-->"Java Environment "-->"Select file.." 选择该文件进行加载。

 

0x03 升级而不重装插件

我们导航到 " C:\Users\foresee\AppData\Roaming\BurpSuite\ " 找到 " bapps " 文件夹,通过在burp内置Bapp store下载的插件均在该文件夹里面

解压新版burpsuite到 " D:\burpsuite_pro", 然后把" bapps " 文件夹复制到该目录下

 

欢迎大家分享更好的思路,热切期待^^_^^ !!!

 

煜铭2011
关注
专栏目录
Burpsuite插件之logger++使用方法1
08-03
**Burpsuite插件之logger++使用方法** Logger++是一款为Burpsuite设计的增强型日志记录插件,由裁决目录开发。它与Burpsuite内置的HTTP历史记录功能相似,但提供了更全面的记录和分析能力,增加了额外的字段以帮助...
BurpSuite插件分享
混子
08-26 3772
之前总认为挖洞细就中了,但在前段时间人麻了,去测站,把功能点测完以为结束了,因为这几年甲方安全意识强,还有一些安全设备,再加上人家防范的意识也强,就感觉不会出现spring boot未授权、shiro默认密钥等这种比较低级的事情,但事实总是打脸的措不及防,测完发现甲方爸爸找上门了,说人家测拿到权限了,你是不是不行,在这里小弟建议各位哥哥留意一下那些主动检测到插件,说不定弹了你不知道,所以这篇文章主角是插件。......
burpsuit常用插件汇总
Thunderclap的博客
07-02 9436
burpsuit常用插件
一款强大的burpsuite漏洞扫描插件--gatherBurp
最新发布
lza20001103的博客
08-06 1056
一款强大的burpsuite漏洞扫描插件--gatherBurp
基于实战渗透中用到的burpsuite插件
weixin_51641247的博客
01-24 2670
BurpSuite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们能更好的完成渗透测试和攻击。在渗透测试中,只有熟悉BurpSuite的使用,使得渗透测试工作变得轻松和高效。
暴力破解演示及burpsuite的介绍与使用
qq_45721814的博客
10-20 1067
一、burpsuite的介绍 burpsuite是一个集成的web安全测试软件,有free和pro二种版本,free版本是免费的版本,pro版本是收费的版本,其中先介绍proxy和intruder 1、开打proxy之后,他会监听一个端口,当然监听的端口和IP地址我们是可以自己配置的,这样可以把所有从浏览器访问目标站点的请求走到proxy上来,其中的是intercept is on自动打开的,应该...
一、Burpsuite工具的安装
SmileAssassn的博客
01-24 741
主要讲解burpsuite工具的安装,包括社区版本和PRO版本,初学者使用社区版本就好,高级玩家需要使用PRO版本
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
06-25 4750
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
无论是老版还是新版的BurpSuite,该插件都能兼容,这意味着它具有良好的兼容性和实用性,可以帮助用户在不同的测试环境中工作。 在进行安全测试时,首先要理解Log4j和Log4j2的配置以及它们如何处理用户输入。例如,...
Burpsuite插件之WooyunSearch使用方法 1
08-03
总结,WooyunSearch作为Burp Suite的一个实用插件,为安全研究人员提供了一个快速访问和利用Wooyun(X10Sec)社区资源的渠道,提高了测试效率和准确性。正确理解和使用这款插件,能够使你的安全测试工作更加得心应手...
burpsuite使用说明.pptx
04-02
详细介绍了渗透神器 Burpsuite的安装以及使用方法。 介绍了添加目标到target scope的方法。 还挑选了几款类似于 JSON Decoder的插件进行了介绍。
Burpsuite插件1.zip
03-21
最后,burpsuite.xlsx文件可能包含了一些测试计划、案例或者插件的配置信息,用于记录和分享测试策略。 总的来说,这些插件扩展了Burp Suite的功能,使其能够更好地适应复杂的安全测试需求,提高了测试效率和深度。...
kali linux burpsuit pro(专业版)及 JDK 配置与安装
single_g_l的博客
12-25 5866
目录 一、下载安装JDK 二、安装Burpsuit pro 1、下载 bp 专业版 2、删除自带的burpsuit 3、创建新burpsuit目录 4、将下载好的bp移动到新目录下 5、对文件进行解压 tar -zxvf burpsuite.tar.gz(如下图) 6、在该文件目录下启动 7、把Licerse的内容复制到enter licerse key 里面,next 8、来回复制,复制完后,继续next 9、 最后可以运行一下,安装完成啦~~~ 一、下载安装JDK ....
BurpSutie拓展插件推荐-辅助测试插件
Boom!脑洞大爆炸的博客
07-04 1976
BurpSutie拓展插件推荐-辅助测试插件
常用burpsuite渗透插件
Python_0011的博客
10-05 1088
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
BurpSuite插件
mingyqf的博客
02-12 9483
Burp Extensions BurpSuite 相关收集项目,插件主要是非BApp Store(商店) 插件的安装 JAVA编写的插件: Python编写的插件: Python编写的插件,需要使用Jython。Jython本质上是一个Java应用程序,Jython允许编码人员使用Java编码调用Python库。也可以使用Python调用Java的库。 Jython下载地址: https://www.jython.org/download 下载好之后,添加到Burp。 导入Python编写的插件,导
BurpSutie拓展插件推荐-漏洞扫描插件
Boom!脑洞大爆炸的博客
07-04 2922
BurpSutie拓展插件推荐-漏洞扫描插件
burpsuite使用教程
热门推荐
大数据同盟会的博客
04-29 2万+
Burp Suite是一个免费的网站攻击工具。它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成,需要 JRE 1.4 以上版本. 步骤一:配置火狐浏览器 网络配置里,选择手动代理,HTTP 代理为127.0.0.1,端口为8080。 步骤二:下载burpsuite 免费版本的burpsuite,双击即可打开使用。 步骤三:打开使用 on为开...
Burpsuite笔记
weixin_34406086的博客
09-04 451
Burpsuite介绍: 一款可以进行再WEB应用程序的集成攻击测试平台。 常用的功能: 抓包、重放、爆破 1.使用Burp进行抓包 这边抓包,推荐360浏览器7.1版本(原因:方便) 在浏览器设置代理: 360浏览器:工具->代理服务器->代理服务器设置 设置好代理:127.0.0.1:8080 -> 确定 Burpsuit...
burpsuite常用插件
08-27
Burp Suite是一款功能强大的Web应用程序渗透测试工具,它有许多常用的插件可以帮助安全测试人员进行各种渗透测试任务。以下是一些常用的Burp Suite插件: 1. Turbo Intruder:用于高速自定义的HTTP请求发送和漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值