burpsuite插件C语言开发的,Burpsuite插件自动二手开发

最新推荐文章于 2024-01-28 12:57:40 发布
最新推荐文章于 2024-01-28 12:57:40 发布
阅读量215 收藏
点赞数
文章标签: burpsuite插件C语言开发的
本文记录了如何二次开发BurpSuite插件来识别响应数据中的'password', 'passwd', 'passwords'等敏感信息。作者通过加载Jython的jar文件,编写Python脚本来实现新功能,并将匹配到的关键词高亮显示为粉色。此外,还分享了代码修改后的个人fork版本链接。
摘要由CSDN通过智能技术生成

因为工作研究的需要,记录自己二次开发burpsuite插件的流程

首先看以下这个插件,我也需要显示response数据中的敏感数据,但是这个插件没有我需要的数据

所以记录一下安装步骤和二次开发流程:

ad0041883683ef0b8a3d4734cbbd7370.png

安装我就不说了,一路next就行了,安装好之后先在burp中配置好jython的jar地址,如下图

95806c219455e62a48370612931f4ccc.png

之后就可以加载py脚本了,如下图

76df4dbbf5520148a7c57f397ad5ab3d.png

安装成功后可以看到如下的场景

6c855edb921d9839caa641cf86a56463.png

这样我们就能使用大佬开发的插件了,如果更改了代码,则依照上图中的remove去掉插件,然互再add加载就行了

因为我们需要判别response数据中有没有password,passwd,passwords这一类的数据,所以我们需要新增一个函数进行判断

def stringIsIdpass(string):

passwds = set(re.findall('pass', string, flags=re.IGNORECASE))

if len(passwds) > 0:

return ','.join(passwds)

return False

对应的在history中我们把颜色设置为pink

if stringIsIdpass(msg):

messageInfo.setHighlight('pink')

还要在页面中输出关键词,在setMessage中增加

if passwd != False:

pretty_msg += "Find passwd: " + passwd + '\n'

最终就能发现pass相关的关键词,避免一个个去找了

bda97c7a9aa6b66a9171e52099a54d3a.png

315c7d6cbeb825a438845a9c3f82c65c.png

圆满完成任务

我自己fork了一个版本并完成修改,地址如下:

文章来源: www.oschina.net,作者:国产大熊猫,版权归原作者所有,如需转载,请联系作者。

原文链接:https://my.oschina.net/9199771/blog/3164347

BurpSuite实战十六之BurpSuite插件编写
悦分享
06-12 1652
Burp Suite的强大除了自身提供了丰富的可供测试人员使用的功能外,其提供的支持第三方拓展插件的功能也极大地方便使用者编写自己的自定义插件。从上一章节我们已经了解到, Burp Suite支持的插件类型有Java、Python、Ruby三种。无论哪种语言的实现,开发者只要选择自己熟悉的语言,按照接口规范去实现想要的功能即可。下面我们就来看看如何开发一个Burp Extender的插件。 本章讲述的主要内容有:API简述Burp插件的编写前准备Burp插件的编写(Java语言版)API简述打开Burp E
burpsuite插件开发中文API文档
10-27
本API主要将wooyun作者Her0in所写的burp插件开发API整理成了CHM中文文档,方便burp插件开发小菜鸟查阅。详情请见笔者博客。
burpsuite插件C语言开发的,Burpsuite Python插件开发 - 编程环境篇
weixin_39769091的博客
05-21 434
java2python使用java2python将网上的java代码(如swing示例代码)转成python,方便开发。java2python基于python2编写,也很久没维护了,但还是可以用用。virtualenv -p python2 env_j2py. env_j2py/bin/activatepip install http://antlr3.org/download/Python/an...
burp suite java_Burpsuite插件自动二手开发
weixin_39915605的博客
02-23 170
因为工作研究的需要,记录自己二次开发burpsuite插件的流程首先看以下这个插件,我也需要显示response数据中的敏感数据,但是这个插件没有我需要的数据所以记录一下安装步骤和二次开发流程: 安装我就不说了,一路next就行了,安装好之后先在burp中配置好jython的jar地址,如下图 之后就可以加载py脚本了,如下图 安装成功后可以看到如下的场景 这样我们就能使用大佬开发插件了,如果更...
BurpExtend:基于Burp插件开发打造渗透渗透测试自动
03-08
渗透测试自动化是白帽子和各家公司一直在解决的一个案例,BurpSuit是渗透测试中必不可少的渗透神器,基于BurpSuit插件二次开发,完善丰富其功能,联动各类其他工具达到渗透测试自动化能够有效减少人工的参与并大大提高突破检出率。本文将分为6个章节详细介绍如何基于BurpSuit插件开发打造自动化渗透测试之路。 详细介绍见: :
BurpSuite中文使用手册
09-02
本文档详细地记录了burpsuite使用的各种设置、技巧、方法,并且提供了很多个案例,供广大网络安全应用者参考,十分难得的一份文档!
Burpsuite插件开发
Websec
06-01 4113
一、Burp插件介绍和编程语言选择插件是什么?扩展burp功能的程序,依赖burp提供的API,让使用者可以开发一些自己想要的功能。插件可以干什么?请求和响应包的修改:比如在每个请求包中加如自定义的header自定义UI界面:插件可以实现一个自己的tab,方便图像化操作自定义扫描插件:当出现了新的漏洞,我们就可以编写自己的扫描插件,来自动化发现这类漏洞访问burp中的一些关键数据:比如proxy中的请求记录、sitemap中请求响应、扫描发现的漏洞(issue)插件怎么使用?先讲burp插件的基本使用:加载
BurpSuite插件开发
0of_blog
06-27 832
burpsuite插件开发
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
BurpSuite插件
mingyqf的博客
02-12 1万+
Burp Extensions BurpSuite 相关收集项目,插件主要是非BApp Store(商店) 插件的安装 JAVA编写的插件: Python编写的插件: Python编写的插件,需要使用Jython。Jython本质上是一个Java应用程序,Jython允许编码人员使用Java编码调用Python库。也可以使用Python调用Java的库。 Jython下载地址: https://www.jython.org/download 下载好之后,添加到Burp。 导入Python编写的插件,导
Burpsuite-JSScan:burpsuite插件:主动和被动进行JS扫描并分析其中的可利用点
05-23
Burpsuite JsScan 插件 burpsuite插件:主动和被动进行JS扫描 目前实现了主动扫描和被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只...
Burp Suite Essentials
04-25
Burp Suite is a collection of tightly integrated tools that allow effective security testing of modern-day web applications. It provides a great combination of tools that allow automated and manual workflows to test, assess, and attack web applications of all shapes and sizes. Getting started with Burp is easy. With some application, we can become extremely comfortable and skilled at using the various powerful tools that are offered by Burp Suite.
burpsuite怎么用get和post方式进行http请求?单独get或post请求以及两种方式混合请求,超详细演示
最新发布
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
01-28 5756
在burp中怎么进行http常用的两种请求方式?
BurpSuite系列之----BurpSuite基本介绍及环境配置
热门推荐
fendo
12-31 1万+
一、BurpSuite简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 Burp Suite 包含了一系列burp 工具,这些工具之间有大量接口可以互相通信,之所以这样设计的目的
常用抓包工具(可编程抓包工具)
lyhDream的专栏
10-19 1万+
一、网络抓包工具 1、wireshark 网络抓包工具,可以抓取除应用层,整个网络的数据包 用途:一般用来作为网络分析工具使用 地址:https://www.wireshark.org/ 二、应用层抓包工具(http、https等 ) 1、Charles 应用层抓包工具,一般用来抓取http、https等应用层的数据包 用途:抓取http、https;调试web应用、修改http请...
BurpSuite实战教程03-BurpSuite插件开发
liaomin416100569的专栏
02-28 3684
需求:拦截bp的抓包日志显示到自定义的表格中,点击表格能显示请求和响应的信息。效果图如下官网实例参考:@Override//在burpsuite中添加一个tab页签,名字是Custom logger//注册一个http抓包请求拦截器,用来获取所有抓包的数据添加到表格/*** 使用JSplitPane,添加一个左面是http请求的表格,下面是个http的请求和响应编辑器* @return*//**
再谈Android抓包工具与Android抓包思路
HURUWO的技术博客
10-29 1176
前言 数据分析 逆向的开端往往从数据拦截开始,无论是数据抓取还是参数计算。第一步就是数据拦截人,如果没有这一层估计也就无法下手了。 联系到之前的闲鱼数据抓取和闲鱼数据采集系统的搭建过程。有不少朋友联系我怎么抓不到闲鱼的数据包啊。我觉得有必要分享下一些我自己常用的数据包抓取工具吧。 鉴于整个闲鱼数据采集/爬虫系统还在搭建过程中,这篇算是插入内容。和之前的文章分开发表,不算在系列里面。 常用的抓包工具分析 介绍下我用过的也就是市面上常用的一些抓包工具,并分享其特点。 1.anyproxy 阿里 开源的 可以二
BurpSuite-安全测试神器
u012343977的博客
02-27 6482
Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程 主要功能:代理工具(Proxy), 爬虫(Spider),暴力破解(Intruder),漏洞扫描(Scanner付费),重放请求(Repeater),附属工具(decode comparer),扩展定制(Extender) 配置代理 使用谷歌插件直接代理 设置证书可以抓取https的请求 这里,直接输入【cacert.der】 然后选
渗透神器:burpsuit教程 (汉化+Repeater)
MachineGunJoe666
04-23 6248
前言:释疑解惑 《BP使用教程一》发布后,后台收到了许多小伙伴的私信问BP是怎么汉化的,在这里统一为大家解答一下。 BP的汉化依赖于汉化jar包,在启动时引入汉化包即可,废话不多说,直接上命令: java -Dfile.encoding=utf-8 -javaagent:BurpSuiteChs.jar -noverify -javaagent:BurpSuiteLoader.jar -jar burpsuite_pro_v2020.12.1.jar 效果如下: 使用这种方法每次启动的.
Burpsuite工具的使用
weixin_44110913的博客
07-29 3038
目录 Burpsuite Proxy代理模块 Repeater模块(改包,重放) Intruder模块(爆破) Target模块 position模块 Payloads模块 Options模块 一处爆破点  多处爆破点 Spider模块(爬取网站目录) 只拦截特定网站的数据包 Scanner扫描模块 主动扫描 被动扫描 Sequencer模块的使用 Comparer模块的使用 BurpSuite中好用的第三方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>