能让你躺着挖洞的BurpSuite插件

说躺有点夸张了哈，但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。
插件列表：

1.ShiroScan：被动发现Shiro反序列化漏洞
2.FastJsonScan：被动式FastJson检测插件
3.log4j2burpscanner：被动发现log4j2 RCE漏洞
4.Struts2Burp：被动发现Struts2 RCE漏洞

目前比较好用的是上面的几个插件，还有其他的一些辅助插件全部放到下载链接里了，具体用途可以直接百度哈，本文主要介绍上面的四个插件。
Burp suite 也可以加载python脚本，需要安装jython-standalone-2.7.2.jar包。
网盘下载：
链接：https://pan.baidu.com/s/1-mova6C97Ri1xkxNqmAMNA
提取码：6666

实战

一、安装插件
插件存放路径尽量不要有中文，有可能会报错，其他的jar包都是一样的这样安装，注意：安装失败时Errors会有报错信息，一般就是burpsuite版本不匹配，我用的是最新版本可以使用，
（插件安装）

（ython-standalone-2.7.2.jar解释器安装,目的是可以加载python脚本）

（python脚本插件安装）

二、ShiroScan、FastJsonScan、Struts2Burp插件使用

这三个插件安装完成就可以使用，在日常测试过程中被动发现漏洞，发现漏洞后会在Dashboard中显示

（详细的漏洞列表在相应的模块中也可以查看）

三、log4j2burpscanner插件使用

log4j2burpscanner需要配置dnslog来接收回显

（限制取消）

以上的都配置完成后就可以愉快的挖洞了