能让你躺着挖洞的BurpSuite插件

最新推荐文章于 2024-06-25 08:33:31 发布
最新推荐文章于 2024-06-25 08:33:31 发布
阅读量2.5k 收藏 22
点赞数 6
文章标签: 信息安全 python java 大数据 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangshuangsss/article/details/126169331
版权

502c8296af68a04957005d5409431766.gif

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维9615aeb5d7fe938774e6cd54ff5d2c37.png

让我们每天进步一点点

简介

说躺有点夸张了哈,但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。

插件列表:

1.ShiroScan:被动发现Shiro反序列化漏洞
2.FastJsonScan:被动式FastJson检测插件
3.log4j2burpscanner:被动发现log4j2 RCE漏洞
4.Struts2Burp:被动发现Struts2 RCE漏洞

目前比较好用的是上面的几个插件,还有其他的一些辅助插件全部放到下载链接里了,具体用途可以直接百度哈,本文主要介绍上面的四个插件。

Burp suite 也可以加载python脚本,需要安装jython-standalone-2.7.2.jar包。

网盘下载:

链接:https://pan.baidu.com/s/1-mova6C97Ri1xkxNqmAMNA

提取码:6666

8837604cfabb26904737c09e6bef0e81.png

实战

一、安装插件

插件存放路径尽量不要有中文,有可能会报错,其他的jar包都是一样的这样安装,注意:安装失败时Errors会有报错信息,一般就是burpsuite版本不匹配,我用的是最新版本可以使用,下面有安装方法。

工具篇-BurpSutie Pro 2021.10.1最新版本

(插件安装)

9e02e590ee703eef7899ccd5f6a69ee7.png

(ython-standalone-2.7.2.jar解释器安装,目的是可以加载python脚本)

7a0d3589b89629f673dcd8640e140805.png

(python脚本插件安装)

b5210bd932acd3100dc3399f8d822e43.png

二、ShiroScan、FastJsonScan、Struts2Burp插件使用

这三个插件安装完成就可以使用,在日常测试过程中被动发现漏洞,发现漏洞后会在Dashboard中显示

(偷来的图)

3e3f21cf087096d1bbff06df4f940f7b.png

(详细的漏洞列表在相应的模块中也可以查看)

349fb6c5c2a202bb40121f92df71c6de.png

三、log4j2burpscanner插件使用

log4j2burpscanner需要配置dnslog来接收回显

a05dd36c4fd5790f17f0ede3ae5acf1c.png

(挖政府和教育的需要注意把限制取消)

1928659f8d5362da0541f1f62de8342d.png

以上的都配置完成后就可以愉快的挖洞了

高级操作可以查看下面文章哈:

一键启动+AWVS+Sqlmap+BurpSutie+Xray多级代理联合挖洞

往期内容

平台让人打穿了(Shiro反序列化)

新时代IT农民工资料中转站

Mqtt消息订阅服务渗透

1d8e023b6dc9b1e0999da3ea42302b66.gif

3bfe9c458cf4cb591e36e9e29a2d3f7e.gif

更多资讯长按二维码 关注我们

   专业的信息安全团队,给你最安全的保障。定期推送黑客知识和网络安全知识文章,让各位了解黑客的世界,学习黑客知识,普及安全知识,提高安全意识。

觉得不错点个“赞”呗8886ed70488118f539f1ba8f97bda893.png      

TaibaiXX1
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Burp Suite插件集合
08-24
包含Sqlmap、POST2JSON、DOMXSSChecks、Burp-SessionAuthTool、WCF-Binary-SOAP-Plug-In等18种插件,非常全的Burp工具集合。
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
BurpSuite中的安全测试插件推荐
weixin_33858485的博客
05-09 581
转载:http://www.mottoin.com/90188.html 0x00 前言 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 无论是收费版还是免费版,Burp Suite 这个软件都提供了一定数...
探索网络安全新维度:OneScan BurpSuite插件
gitblog_00078的博客
05-22 383
探索网络安全新维度:OneScan BurpSuite插件 项目地址:https://gitcode.com/vaycore/OneScan 项目简介 OneScan是一款强大的BurpSuite插件,专为递归目录扫描而设计。灵感源自技术专家One哥,由vaycore和Rural.Dog共同打造,其核心目标是帮助安全研究人员快速发现网站隐藏的Swagger-API文档和其他潜在敏感页面。这款插件不...
武装你的 Burp Suite - 好用插件分享
Xor0ne
03-06 7615
本文来源于:微信公众号:[小白渗透成长之路][如果你觉得文章对你有帮助,欢迎点赞] 内容目录 BURP 好用插件集合 BURP 好用插件集合 下面分享一些插件,也算是用到的比较多的或者是比较火的一些插件,在这里做个简单集合,供大家选取。(因为比较多,就不一一放链接了,可以 github 直接搜, 都有的,还可以顺便看看官方文档。) burp如何安装插件教程: https://blog.csdn.net/weixin_46329243/article/details/113270792 ...
一些相见恨晚的BurpSuite插件推荐
qq_28205153的博客
02-17 2912
BurpSuite 是我心中最强大的Web渗透工具,没有之一!它也是日常中用得最多的工具,它有一些强大的插件可以帮忙我们减少大量的工作量以及更好地挖掘漏洞,今天分享下我常用的一些 burp 插件。 Autorize —— 强大的越权自动化测试工具 如果你在测试越权的时候,还是手动把URL复制到另一个浏览器的低权限账号中来打开,你就out了! Autorize 是一个测试权限问题的插件,可以在插件中设置一个低权限账号的 cookie ,然后使用高权限的账号去浏览所有功能,Autorize 会自动用低权限账号
burpsuite插件推荐
键盘的起始页
07-19 255
更多参见:Burp插件梳理总结
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-25 1562
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
burpsuite插件sqlmap4burp安装包
01-05
已编译,亲测可直接使用,直接用burpsuite抓包,右键选择send to sqlmap4burp ,直接调用sqlmap进行注入点测试
Burpsuite插件BurpKit使用方法1
08-04
BurpSuite插件BurpKit使用方法详解》 在网络安全评估领域,BurpSuite是一款备受推崇的工具,尤其在Web应用安全测试中扮演着重要角色。而BurpKit,作为BurpSuite的一个插件,进一步提升了其功能性和灵活性,使得...
Burp suite主题插件.jar
09-22
Burp Suite 2020.12 用 FlatLaf 替换了旧的 Look and Feel 类,这是一个开源 Look and Feel 类,它还支持为 IntelliJ 平台开发的 3rd 方主题。此扩展允许您在 Burp Suite 中使用这些主题,并包含许多捆绑主题供您...
BurpShiroPassiveScan:一款基于BurpSuite的被动式shiro检测插件
03-18
BurpShiroPassiveScan 一款基于BurpSuite的被动式shiro检测插件 自言自语 据听说它的诞生是因为作者太太太懒了! 不想每个站点自己去添加个rememberMe去探测是否shiro框架 于是乎〜 它就诞生了 简介 BurpShiroPassiveScan一个希望能节省一些渗透时间好进行划水的扫描插件插件插件BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测 目前的功能如下 shiro框架指纹检测 shiro加密密钥检测 安装方法 这是一个java maven项目 如果你想自己编译的话,那就下载本源码自己编译成jar包然后进行导入BurpSuite 如果不想自己编译,那么下载该项目提供的jar包进行引入即可 检测方法选择 目前有一种方法进行shiro框架key的检测 l1nk3r师傅的基于原生shiro框架检测方法 l1nk3r师傅的检
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。 描述 此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是 S2-001 S2-007 S2-008 S2-012 S2-013 S2-014 S2-015 S2-016 S2-019 S2-029 S2-032 S2-033 S2-037 S2-045 S2-048 S2-053 S2-057 S2-DevMode 加载扩展 Burp Suite- > Extender- > Add- > Select the Struts.jar file- > Next. 一旦加载而没有任何错误,将在现有的burp实例中弹出一个新选项卡。 用法 只需右键单击所选请求,然后单击“检查S
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效,非常好用老版的BurpSuite和新版的都可以使用。祝大家挖洞顺利(工具仅用于学习交流)
子域名拦截工具burpsuite插件
06-27
其中,"子域名拦截工具burpsuite插件"是专门为Burp Suite设计的一款扩展,专门用于拦截和分析网络流量中的子域名信息。 子域名拦截工具的主要作用在于帮助安全研究人员或渗透测试人员发现并收集目标网站的子域名。...
常用burpsuite渗透插件
Python_0011的博客
10-05 942
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
burpsuite插件————AES-Killer的使用
Fly_鹏程万里
11-23 3899
下载地址:https://github.com/Ebryx/AES-Killer Burpsuite Plugin to decrypt AES Encrypted traffic on the fly Requirements Burpsuite Java Tested on Burpsuite 1.7.36 Windows 10 xubuntu 18.04 Kali Lin...
工具推荐——三个Burp插件
浪飒sec
11-09 685
用于web渗透注册时,快速生成需要的资料用来填写,资料包含:姓名、手机号、身份证、统一社会信用代码、组织机构代码、银行卡,以及各类web语言的hello world输出和生成弱口令字典。本插件主要用于分块传输绕WAF。关注浪飒sec公众号回复。
burpsuite插件
07-27
您好!对于Burp Suite,它是一款常用的Web应用程序安全测试工具。它提供了许多功能,其中包括插件系统,可以通过插件来扩展其功能。以下是一些常用的Burp Suite插件: 1. Turbo Intruder:用于自定义和自动化攻击的插件。 2. SQLMap:用于自动化SQL注入检测和利用的插件。 3. Logger++:用于记录和分析HTTP请求和响应的插件。 4. ActiveScan++:增强Burp的主动扫描功能,提供更全面的漏洞检测。 5. CO2:用于发现和验证SSRF漏洞插件。 6. J2EEScan:用于检测和利用Java EE应用程序中的漏洞插件。 7. Retire.js:用于检测应用程序中使用的旧版本JavaScript库和框架的插件。 这只是一小部分Burp Suite插件,还有很多其他插件可以根据您的需求进行安装和使用。您可以在Burp Suite的官方网站或第三方开发者社区上找到更多插件资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值