如何打造自己的burpsuite自动化武器库(自用分享)

简介: 如何打造自己的burpsuite自动化武器库(自用分享)

0x01 前言

要问搞渗透必须要打开的一款软件是什么,我猜大多数的师傅都会是burpsuite这款软件,burpsuite的功能十分强大,其也集成了一些漏洞扫描的功能,但是在渗透测试过程中,burpsuite所提供的漏洞扫描功能似乎还是差点感觉,特别是在一些专项的漏洞检测过程中。为了更好的满足我们渗透测试人员的需求,burpsuite是支持插件的扩展的,用户可以自定义一些漏洞检测插件来完善burpsuite的漏洞检测能力,以下就推荐一些我自己个人使用的一些burpsuite插件,其中一些插件也是成功帮助我挖掘到过一些0day(这里另外感谢一下开发这些插件的大佬们)


0x02 burpsuite武器库

以下文章主要还是以插件推荐为主,只做一个简单的介绍,具体插件使用展开写篇幅太长,且这些插件使用的难度也都不大,所以师傅们可以先自己琢磨一下,后续在如下B站号上出一期视频具体聊聊这些插件的使用。

image.png

log4j2burpscanner

一款被动的log4j2漏洞扫描插件,log4j2这种核弹级的漏洞爆发,互联网存在的log4j2漏洞还是非常之多的,本人自己曾也是借助过这款插件发现过几个0day。

项目地址:https://github.com/f0ng/log4j2burpscanner

BurpShiroPassiveScan

一款被动的shiro漏洞扫描插件,现在市面上存在许多优秀的shiro漏洞利用图形化工具,但是每次单独打开一个shiro漏洞利用工具都显得非常麻烦,且在shiro指纹识别上,这款插件相比于一些图形化的利用工具更有优势。

项目地址:https://github.com/pmiaowu/BurpShiroPassiveScan

Struts2-RCE

一款Struts2漏洞扫描插件,集成在bp里面,看到action,do等后缀,都可发送到该插件做一个主动扫描。

项目地址:https://github.com/prakharathreya/Struts2-RCE

FastjsonScan

BurpFastJsonScan

两款Fastjson漏洞扫描工具,在Fastjson的漏洞检测中,这两款可以相互结合来检测和验证。

项目地址:https://github.com/Maskhe/FastjsonScan
项目地址:https://github.com/pmiaowu/BurpFastJsonScan

xia_sql

一款被动的sql注入辅助测试插件,自己平常测试总是会漏测一些参数,这款插件就完美的解决了测试者懒惰漏测参数的情况。

项目地址:https://github.com/smxiazi/xia_sql

BurpReflectiveXssMiao

一款反射xss漏洞检测插件。

项目地址:https://github.com/pmiaowu/BurpReflectiveXssMiao

BurpJSLinkFinder

一款基于正则来提取链接插件,该插件可平替jsfinder,这样就可以不用每次单独运行jsfinder了,自己也是利用这款插件挖掘到很多未授权访问的接口。

项目地址:https://github.com/InitRoot/BurpJSLinkFinder

403 Bypasser

一款网页403bypass的插件。

直接在BApp Store搜索 403 Bypasser

640.png

Autorize

一款验证越权漏洞的插件。

直接在BApp Store搜索 Autorize

640.png

目录
相关文章
|
9天前
|
Web App开发 计算机视觉 开发者
Ruby自动化:用Watir库获取YouTube视频链接
Ruby自动化:用Watir库获取YouTube视频链接
|
1月前
|
安全 API 文件存储
Yagmail邮件发送库:如何用Python实现自动化邮件营销?
本文详细介绍了如何使用Yagmail库实现自动化邮件营销。Yagmail是一个简洁强大的Python库,能简化邮件发送流程,支持文本、HTML邮件及附件发送,适用于数字营销场景。文章涵盖了Yagmail的基本使用、高级功能、案例分析及最佳实践,帮助读者轻松上手。
37 4
|
3月前
|
数据采集 安全
Burpsuite Scanner扫描功能实现自动化shentou
Burpsuite Scanner扫描功能实现自动化shentou
|
5月前
|
数据采集 数据可视化 数据挖掘
利用 Jupyter 实现自动化报告生成 展示如何结合 Jupyter 和 Python 库
【8月更文第29天】为了创建自动化报告,我们可以利用 Jupyter Notebook 结合 Python 的强大库如 Pandas、Matplotlib 和 Seaborn 来处理数据、制作图表,并使用 Jinja2 模板引擎来生成 HTML 报告。这种方式非常适合需要定期生成相同类型报告的情况,比如数据分析、业务报表等。
278 1
|
7月前
|
程序员 API 计算机视觉
技术经验解读:【python自动化】02.pywin32库自动操作键鼠(保姆级代码注释)
技术经验解读:【python自动化】02.pywin32库自动操作键鼠(保姆级代码注释)
165 0
|
7月前
|
安全 生物认证 网络安全
信息打点-红蓝队自动化项目&资产侦察&武器库部署&企查产权&网络空间
信息打点-红蓝队自动化项目&资产侦察&武器库部署&企查产权&网络空间
|
7月前
|
编解码 机器人 关系型数据库
掌握计算机自动化:PyAutoGUI库详细教程(最全使用方法,每行代码都有注释,帮你解决与之有关的所有问题)
掌握计算机自动化:PyAutoGUI库详细教程(最全使用方法,每行代码都有注释,帮你解决与之有关的所有问题)
|
8月前
|
JavaScript 前端开发 测试技术
MechanicalSoup,一个非常实用的 Python 自动化浏览器交互工具库!
MechanicalSoup,一个非常实用的 Python 自动化浏览器交互工具库!
94 9
|
8月前
|
测试技术 API 持续交付
【专栏】Python在自动化测试与单元测试中的应用,强调其简洁语法和丰富库的优势
【4月更文挑战第27天】本文探讨了Python在自动化测试与单元测试中的应用,强调其简洁语法和丰富库的优势。文章分为三部分:首先,阐述自动化测试的重要性及Python的易学性、库支持、跨平台和社区支持;其次,介绍了Python的Unittest标准测试框架和Pytest第三方框架的特点与用法;最后,讨论了Web UI和API自动化测试实践,并提出持续集成、测试金字塔等最佳实践。Python为软件开发的测试环节提供了强大支持,帮助构建更稳定的系统。
93 1
|
8月前
|
JSON 测试技术 API
Python的Api自动化测试使用HTTP客户端库发送请求
【4月更文挑战第18天】在Python中进行HTTP请求和API自动化测试有多个库可选:1) `requests`是最流行的选择,支持多种请求方法和内置JSON解析;2) `http.client`是标准库的一部分,适合需要低级别控制的用户;3) `urllib`提供URL操作,适用于复杂请求;4) `httpx`拥有类似`requests`的API,提供现代特性和异步支持。根据具体需求选择,如多数情况`requests`已足够。
89 3