说躺有点夸张了哈,但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。
插件列表:
1.ShiroScan:被动发现Shiro反序列化漏洞
2.FastJsonScan:被动式FastJson检测插件
3.log4j2burpscanner:被动发现log4j2 RCE漏洞
4.Struts2Burp:被动发现Struts2 RCE漏洞
目前比较好用的是上面的几个插件,还有其他的一些辅助插件全部放到下载链接里了,具体用途可以直接百度哈,本文主要介绍上面的四个插件。
Burp suite 也可以加载python脚本,需要安装jython-standalone-2.7.2.jar包。
网盘下载:
链接:https://pan.baidu.com/s/1-mova6C97Ri1xkxNqmAMNA
提取码:6666
实战
一、安装插件
插件存放路径尽量不要有中文,有可能会报错,其他的jar包都是一样的这样安装,注意:安装失败时Errors会有报错信息,一般就是burpsuite版本不匹配,我用的是最新版本可以使用,
(插件安装)
(ython-standalone-2.7.2.jar解释器安装,目的是可以加载python脚本)
(python脚本插件安装)
二、ShiroScan、FastJsonScan、Struts2Burp插件使用
这三个插件安装完成就可以使用,在日常测试过程中被动发现漏洞,发现漏洞后会在Dashboard中显示
(详细的漏洞列表在相应的模块中也可以查看)
三、log4j2burpscanner插件使用
log4j2burpscanner需要配置dnslog来接收回显
(限制取消)
以上的都配置完成后就可以愉快的挖洞了
