Burp模糊测试---简单扩展工具

最新推荐文章于 2024-06-04 15:06:05 发布
最新推荐文章于 2024-06-04 15:06:05 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjy397/article/details/50738815
版权
from burp import IBurpExtender
from burp import IIntruderPayloadGeneratorFactory
from burp import IIntruderPayloadGenerator

from java.util import List,ArrayList
import random

class BurpExtender(IBurpExtender,IIntruderPayloadGeneratorFactory):
    def registerExtenderCallbacks(self,callbacks):
        self._callbacks = callbacks
        self._helpers = callbacks.getHelpers()
        
        callbacks.registerIntruderPayloadGeneratorFactory(self)
        return
    
    def getGeneratorName(self):
        return "BHP Payload Generator"
    
    def createNewInstance(self,attack):
        return BHPFuzzer(self,attack)

class BHPFuzzer(IIntruderPayloadGenerator):
    def __init__(self,extender,attack):
        self._extender=extender
        self._helpers = extender._helpers
        self._attack = attack
        self.max_payloads = 10
        self.num_iterations = 0
        return
    
    def hasMorePayloads(self):
        if self.num_iterations  == self.max_payloads:
            return False
        else:
            return True
        
    def getNextPayload(self,current_payload):
        payload="".join(chr(x) for x in current_payload)
        payload = self.mutate_payload(pyaload)
        self.num_iterations+=1
        return payload
    
    def reset(self):
        self.num_iterations=0
        return
    
    def mutate_payload(self,original_payload):
        picker = random.randint(1,3)
        offset = random.randint(0,len(original_payload)-1)
        payload=original_payload[:offset]
        
        if picker ==1:
            payload+="'"
            
        if picker ==2:
            payload+="<script>alert('BHP!')</script>"
        
        if picker==3:
            chunk_length=random.randint(len(payload[offset:]),len(payload)-1)
            repeater = random.randint(1,10)
            
            for i in range(repeater):
                payload+=original_payload[offset:offset+chunk_length]
                payload+=original_payload[offset:]
                return payload
手艺人123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【THM】Burp Suite: Intruder - 初级渗透测试
追风少年亚索的博客
03-30 792
撰写本文目的仅仅提供个人查看笔记用途,大家可以去官网查看,都一样的
模糊测试流程----fuzz笔记(1)
douyuchen_jl的博客
07-07 3102
1.Target:    试目标,就不赘述了。 2.确定输入向量:     几乎漏洞的形成原因大都是对于客户端传输的数据(也就是input)没有经过过滤等,在服务端造成了恶意的影响。     例如WEB端进行fuzz:从客户端向服务端传输数据包{ 能传输的任何数据(例如header,useragent等)},这些传输的数据大多数都可能为模糊测试变量。 3.生成模糊测试数据:  
黑帽python第二版(Black Hat Python 2nd Edition)读书笔记 之 第六章 扩展Burp代理(1)配置&Burp模糊测试
阿尔泰野狼的博客
10-13 609
本文记录了博主在阅读Black Hat Python 2nd Edition过程中的心得与踩坑经历
车联网安全入门——CAN总线模糊测试
最新发布
weixin_66578482的博客
06-04 1327
🚀🚀ICSim是一个用于模拟车辆仪表集群的工具,专门为 SocketCAN 设计。SocketCAN 是 Linux 内核中的一个模块,用于支持控制器局域网(CAN)接口。🚀🚀CAN 总线模糊测试是一种强大的方法,用于发现和修复汽车网络系统中的安全漏洞和稳定性问题。通过系统地生成和发送异常 CAN 数据帧,测试人员可以识别出潜在的缺陷,从而增强车辆电子系统的安全性和可靠性。结合 ICSim, Can-Hax和 SavvyCAN 等工具,可以有效地进行 CAN 总线模糊测试,并为车辆网络安全提供坚实的保障。
Java Module name_用Java调用.py程序出现ModuleNotFoundError: No module named 'java'
weixin_35127842的博客
02-24 921
importsysfromjava.awtimport*fromjava.ioimport*fromjava.langimport*fromjava.nioimport*fromjava.utilimport*fromjavax.swingimport*fromedu.mines.jtk.awtimport*fromedu.mines.j...import sysfrom java.awt imp...
如何使用Burp Suite模糊测试SQL注入、XSS、命令执行漏洞
weixin_34185512的博客
09-13 5628
本文讲的是如何使用Burp Suite模糊测试SQL注入、XSS、命令执行漏洞,今天我将使用打包的套件攻击工具对bwapp应用程序进行模糊测试,手动执行此测试是一个耗时的时间,可能对任何一个渗透性测试的安全人员来说都是无聊的过程。 模糊测试在软件测试中起着至关重要的作用,它是一种工具,用于通过将一组称为模糊的部分地址输入注入到要测试的应用程序的程序中来...
BurpSuite----基本介绍及环境配置
11-23
5. **Intruder(入侵者)**:高度可配置的工具,用于自动化攻击,例如枚举标识符、收集敏感数据和使用模糊测试(fuzzing)技术探测漏洞。 6. **Repeater(中继器)**:手动触发HTTP请求的工具,用于分析应用程序的...
BurpSuite----decoder模块(解码器)
11-23
此外,Decoder还能在进行模糊测试(fuzzing)时帮助转换测试字符串,以绕过应用程序的输入验证机制。 总的来说,Burp Suite的Decoder模块是渗透测试人员的重要工具,它提供了强大的编码解码功能,帮助深入理解Web...
BurpSuite手册-041-Sending requests between tools.pdf
12-28
这使得测试流程更加流畅,比如,当在Proxy中发现可能的漏洞后,可以方便地将请求传递给Intruder进行模糊测试,然后根据结果在Repeater中进一步细化测试。这种灵活性允许测试者在多个工具之间切换,以应对不同类型的...
Python-wfuzz是一款Python开发的Web安全模糊测试工具
08-10
WFuzz是基于Python的一款强大的Web安全模糊测试工具,它的全称是Web Fuzzer。这款工具在信息安全领域中被广泛用于发现Web应用程序中的漏洞,如注入攻击(SQL注入、命令注入等)、路径遍历、文件包含漏洞等。通过使用...
BurpSuite v2.1 开源安全测试工具
08-06
- ** Intruder**:用于进行各种类型的攻击,如字典攻击、模糊测试,帮助发现输入验证漏洞。 - **Repeater**:手动重复发送HTTP请求,以深入测试特定的交互或漏洞。 - **Sequencer**:分析和检测会话令牌的随机性...
如何使用Burp Intruder
eWFuZw==的博客
09-06 925
<h3 id="第八章---如何使用burp-intruder"><a name="8F" id="8F">第八章 如何使用Burp Intruder</a></h3> Burp Intruder作为Burp Suite中一款功能极其强大的自动化测试工具,通常被系统安全渗透测试人员被使用...
编译BurpSuit插件时打包方式不对导致java.lang.ClassNotFoundException问题
07-06 5830
在编译Burp插件时,由于导出jar包的姿势不对,在Burp Suit里引用自己导出的jar包,可能会报错:java.lang.ClassNotFoundException:……。举个例子,在编写某个burp插件时,引用了外部jar包:在工程里已经配置好了引用jar包的路径,程序无报错:但下面采用了错误的姿势导出jar包,导致burp中引用jar包时报错:错误的姿势:burp中应用jar包报错:正...
BurpSuite武器库打造之环境搭建和API介绍(下)
weixin_47767605的博客
05-20 846
公:AttackCTF 乌云白帽子 0x00 前言 接上篇丹丹妹,我又给大家带来了下篇,还是以python为开发语言,如有错误的地方还望大家多指正,轻喷。然后呢这边亲亲建议大家代码这种东西还是要多敲,多踩坑。毕竟伟大的爱情家周树人老先生说过只有痛过才能在心底留下不可磨灭的记号。 (多图警告!!!) 0x01 正文接口介绍 ● IHttpRequestResponseWithMarkers 此接口是...
python调用大漠插件_Burp Extender Apis 插件开发 (一)
weixin_40008920的博客
12-06 403
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。前言BurpSuite允许使用者编写自己的自定义插件,支持的插件类型有Java、...
2-2 Burpsute Pro Fuzzing 介绍
山兔的博客
12-05 631
Fuzzing测试 实战演示 打开sqlilab靶场,选择less-1 在域名处输?id=1 打开BP,进行截断 这样子BP就有了数据包,来请求192.168.248.132,对应下的sqli-labs文件目录下的less-1的index.php,并且提交参数是id=1 那么接下来就进行Fuzzing测试,以对应的sql注入为例,进行演示,我们首先点击Action,Send into intruder 送到intruder模块 点击Positions 点击Clear § 直接选中1这个位置,Add
Burp基本设置
weixin_44478363的博客
04-06 3014
安装burp证书 一、证书下载 方法1、 启动burp 选择Proxy-import/export CA certificate导出证书 方法2 访问127.0.0.1:8080下载证书 端口为此处端口 二、安装证书 运行下载好的证书,点击安装证书-存储位置任选- 选择将所有的证书都放入下列存储,点击浏览-选择受信任的根证书颁发机构。下一步点击完成 安装证书为了能够识别https Burp功能初识 target(目标)–显示目标目录结构的一个功能 proxy(代理)–拦截http/https的代
fuzzing是什么
weixin_34095889的博客
11-27 2439
一、说明 大学时两个涉及“模糊”的概念自己感觉很模糊。一个是学数据库出现的“模糊查询”,后来逐渐明白是指sql的like语句;另一个是学专业课时出现的“模糊测试”。 概念是懂的,不外乎是“模糊测试是一种软件测试技术,其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏”。 这种定义也许很准确,但对没接触过...
笔记整理-信息系统开发基础-软件测试-模糊测试
ZenKin's Blog
02-23 233
模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。 在模糊测试中,用随机坏数据(也称做fuzz)攻击一个程序,然后等着观察哪里遭到了破坏。模糊测试的技巧在于它是不符合逻辑的。 自动模糊测试不去猜测哪个数据会导致破坏(就像人工测试员那样),而是将尽可能多的杂乱数据投入程序中。由这个测试验证过的失败模式通常对程序员来说是个彻底的震憾,...
burp-loader-keygen
09-21
burp-loader-keygen是一个用于生成Burp Suite Pro许可证密钥的工具。您可以通过下载burp-loader-keygen.jar并运行它来生成密钥。具体步骤如下: 1. 确保您已经安装了Java环境。 2. 下载burp-loader-keygen.jar工具,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值