burp加载python_工具|简单防重放绕过burp插件

最新推荐文章于 2024-06-25 08:33:31 发布
最新推荐文章于 2024-06-25 08:33:31 发布
阅读量836 收藏
点赞数
文章标签: burp加载python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35907638/article/details/113047455
版权
JC-AntiToken是款Python编写的Burp插件,用于处理请求中携带的防重放token。本文介绍了如何下载安装,配置插件在响应中获取token,并在请求中设置token,以及应对可能出现的问题。
摘要由CSDN通过智能技术生成

JC-AntiToken

burp插件:python版,token防重放绕过

Author: JC0o0l,Jerrybird
Team: Z1-Sec
WeChat: JC_SecNotes(Zer0ne安全研究)

0x01 目标:

token防重放绕过

界面效果如下:

8342629d43678e90eb54c2fc398835e7.png

1610097433549.png

0x02 适用场景:

  1. 请求包带有防重放的token

  2. 该token需要去请求另一个接口才能得到

0x03 使用:

0x0301 下载安装:

  1. 从GitHub下载该项目:https://github.com/chroblert/JC-AntiToken

  2. Burp中配置python环境jython-2.7.jar

  3. 加载JC-AntiToken.py插件

0x0302 配置:

(一)、左侧设置to
最低0.47元/天 解锁文章
e路书香
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全开发--10--Python开发Burp插件流程
武天旭的博客
10-16 1424
一、Burp插件的开发语言 Burp支持Java、Python、Ruby编写插件,其中使用Python编写的话分很多种,常见的比如Jython、Cython等等。Jython为我们提供了Python的库,同时也提供了所有java的类。Cython则是提供了Python的库,也提供了C语言的一些特性。 其中Jython截止到本文编写时间(2022年底),仍仅支持Python2,不支持Python3,所以在使用它时将使用Python2的语法。
编写burp插件实现数据包自定义修改
A345545108的博客
05-07 1203
首先笔者去翻了下Burpy的源码,是使用的pyrolite(这是一个用于java与python通信的库),因为是现成的方案,笔者就直接也用pyrolite了,属实白嫖,不过后来发现该机制其实不是那么好,或者说笔者实现的不是那么好,其中一个问题是在扫描这种高并发数据包场景下很容易出现丢包情况,造成错误,这个问题在下一步计划中通过通信机制的重构来解决,但这不妨碍我们利用rpc来调用python代码的思路。实现的效果就是,我们鼠标选中文本后,右键选择插件菜单的选项,然后文本就被替换成我们处理后的内容了。
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-25 2976
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
Python-一个Burpsuite插件用于检测隐藏的XSS
08-10
一个Burpsuite插件,用于检测隐藏的XSS
burpsuite加载Python插件
自在如风
04-17 5373
1.下载jython并在burpsuite的extender的options中配置jython环境。 下载链接:http://www.jython.org/downloads.html 下载很慢,建议挂代理 2.burp配置 3.插件报错no module。。。。解决 python 安装对应模块(pip install xxx) ...
Python黑帽子:Burp插件编写,之最简单Burp模糊测试
小傅
07-12 657
Burp提供了一系列的api,可以用于开发自己的插件。api的文档可以直接在burp的扩展处查看 插件入口:IBurpExtender+IBurpExtenderCallbacks 辅助功能: IExtensionHelpers 消息接口:IHttpRequestResponse,IRequestInfo,IResponseInfo等等 组件接口:Intruder相关和Scanner相...
学了那么久Python还什么都做不了,我觉得你该试试这个方法了
热门推荐
龙叔的博客
11-08 1万+
答应我,别再做无用功了
Burp suite的重
YIGAOYU的博客
04-08 2814
Burp suite的重 学习一下Repeater模块 可以看到它的模块构架就是两个大框一个请求页面,一个响应页面。可以再请求界面中修改然后点击go发送,也可以指定目标,同时因为http与https加密方式不同,使用必须准确的告诉burp是哪种协议。 还有表现方式 那我们究竟怎么使用呢? 实际来说就是用我们一个已经截下来的包进行重 ,实际操作一下 现在我们抓了一个包点击发送到Repeat...
JC-AntiToken:burp插件python版,token防重绕过
05-27
burp插件python版,token防重绕过 Author: JC0o0l,Jerrybird Team: Z1-Sec WeChat: JC_SecNotes(Zer0ne安全研究) 0x01 目标: token防重绕过 界面效果如下: 0x02 适用场景: 请求包带有防重的token 该token...
Burp_Suite_Pro_v1.7.34_Loader_Keygen
12-19
Burp_Suite_Pro_v1.7.34_Loader_Keygen
Burp_Suite_Pro_v1.7.36专业版(含CSDN教程)
05-07
Burp_Suite_Pro_v1.7.36专业版(含CSDN教程)
使用 Burp Collaborator 的Image Tragick 漏洞利用工具_python_代码_下载
06-15
Python插件通常易于集成到现有的工作流程中,例如在渗透测试或安全审计时,可以快速部署并与其他工具(如Burp Suite)无缝协作。 【压缩包子文件的文件名称列表】中的"ImgRce-master"可能是指该项目的主分支或版本...
Burp_Suite_Pro_v1.7.32_Loader_Keygen
10-29
burp-loader-keygen.jar MD5: A4A02E374695234412E2C66B0649B757 • burpsuite_pro_v1.7.32.jar MD5: D4D43E44769B121CFD930A13A2B06B4C 仅仅是第一次的时候需要反复复制几次注册码。 第二次打开burp 要先打开...
burp response绕过后台_cve202014882 weblogic 越权绕过登录分析
weixin_39726697的博客
11-26 469
简介weblogic 管理控制台需要用户名和密码去登录,但是通过该漏洞,可以绕过登录校验,直接进入后台访问weblogic的各种资源。补丁diff在这里我的weblogic版本为12.2.1.4,其他版本都大同小异。下面我们看一下补丁diff结果因为这个类是weblogic从http访问的处理类,直接禁止url是否包含危险字符,如果包含,则直接退出。修复方案简单粗暴,不得不佩服。危险字符...
使用python编写BurpSuite插件(2. 编写你的第一个burp插件
code_lab
08-21 4069
运行插件的一些基本要点在我们以任何语言运行burp插件之前,我们需要明白:burp寻找一个名为BurpExtender的class来启动(class不需要包含任何参数),之后再调用registerExtenderCallbacks()方法,且该方法包含callbacks参数。并把它当做你编写插件的入口。配置好burp插件运行环境之后(上一篇已经对此进行讲解),我们建立一个以.py结尾的python
python编写脚本结合burp破解密码
qq_29566629的博客
03-01 834
情况说明: 输入账户和密码后,抓包: 可以看到认证那里是base64编码过的,解码得到: 构建爆破内容 前期已经得到的tomcat常用的账户名和密码字典: 编写脚本构造爆破所需的内容: import base64 f=open("com.txt","a") for user1 in open("user"): for pass1 in open("pass"): combine = user1 + ":" + pass1 # 结合后的字符串 base64d =
使用Burp Suite和Python进行自动化漏洞挖掘—SQL测试注入插件
dzqxwzoe的博客
03-19 1476
每次测注入都是用burp的Intruder模块,很不方便就是批量跑批量测哪些没有过滤懒人鹅上线,准备搞一个sql测试的插件本篇文章代码量大,基础可以去看上一篇。
Web安全防范-----防止重攻击
weixin_33868027的博客
04-16 4107
一、什么是重攻击? 我们在开发接口的时候通常会考虑接口的安全性,比如说我们通常会要求请求的url携带一个经过算法加密的签名sign到服务端进行验证,如果验证通过,证明请求是合法的。比如以下的url: http://wokao66.com/in.json?uid=7&sign=xxxxx 其中sign的常用加密算法为MD5,MD5算法是一种不可逆算法,也就是说你加密之后就不能解密了。这通常...
能让你躺着挖洞的BurpSuite插件
tangshuangsss的专栏
08-04 2576
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介说躺有点夸张了哈,但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。插件列表:1.ShiroScan:被动发现Shiro反序列化漏洞 2.FastJsonScan:被动式FastJson检测插件 3.log4j2burpscanner:被动发现log4j2RCE漏...
使用Burp Proxy欺骗IP地址进行身份验证绕过
"本教程介绍了如何使用Burp Suite的Proxy模块中的匹配和替换功能来欺骗IP地址,从而绕过基于IP的身份验证。通过在HTTP请求中添加特定的表头,可以模拟服务器认为的本地网络IP,进而访问受限的内部资源。在Burp Suite...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值