Burpsuite Extender拓展功能实战

简介: Burpsuite Extender拓展功能实战

Burp Suite的Extender拓展功能是指可以通过编写自定义插件来扩展Burp Suite的功能。Burp Suite支持Java、Python、Ruby三种语言的插件开发,开发者只需要按照接口规范去实现想要的功能即可。

下面是一个Java语言版的Burp插件编写示例:

1.首先,需要准备好Java开发环境,并下载Burp Suite的Java API。

2.创建一个Java项目,并将Burp Suite的Java API添加到项目的依赖中。

3.创建一个类,实现IBurpExtender接口,并重写registerExtenderCallbacks方法。该方法会在插件被加载时被调用,可以在该方法中注册自定义的插件。

4.在registerExtenderCallbacks方法中,可以通过调用IBurpExtenderCallbacks对象的各种方法来注册自定义的插件。例如,可以通过调用registerHttpListener方法来注册一个HTTP监听器,用于拦截和修改HTTP请求和响应。

5.编译并打包插件,将生成的jar文件放置在Burp Suite的extender目录下。

6.在Burp Suite中启动插件,即可使用自定义的插件功能。

界面介绍

image.png

插件介绍

image.png

c02是用的很多的插件。

image.png

Gason:

sqlmap插件,实现Burp与sqlmap的对接

 https://code.google.com/p/gason/

 https://github.com/difcareer/sqlmap4burp

image.png

image.png

image.png

插件集合

image.png

按照字母排序 的

image.png 外置导入

安装插件

点击安装

image.png

一键卸载

image.png

安装完最右边就会多出一个插件co2

image.png

使用插件

image.png

image.png

管理插件

image.png

编写插件

image.png

可以把api下载下来,然后打开编程工具

拓展选项

image.png

如果插件使用python写的,就需要配置相应的环境。

BurpSuite+CO2实现SQL注入

使用Burp扫描目标页面

image.png

找到注入页面发送给CO2

image.png

使用CO2调用SQLmap

image.png

调用SQLmap实现注入攻ji

image.png

也可以被动扫描后觉着某一个或两个链接存在某种漏洞,可以单独选中进行主动扫描。

image.png

然后会提示哪些要扫描哪些不要扫,不应该一路确认。

image.png

点击确认主动扫描,然后传给CO2,接上一段。

image.png

发送CO2

image.png

image.png

使用CO2调用SQLmap

有可能cookie错误,需要回到抓包页面复制正确的过来

一开始run按钮是灰色的,需要先点击一下config

image.png

下面是随机用户代理按钮,用来绕开waf检测,原理是不断模拟改变请求信息里用户的浏览器。

image.png

在optins模块里选择字段后,上面的sql语句就会不一样了

databases需要找到数据库信息

users、passwords账户密码信息

privileges权限信息

dump脱库

image.png

调用SQLmap实现注入公鸡

image.png









相关文章
|
5月前
|
人工智能 安全 测试技术
Burp Suite Professional 2025.3 发布,引入 Burp AI 通过人工智能增强安全测试工作流程
Burp Suite Professional 2025.3 发布,引入 Burp AI 通过人工智能增强安全测试工作流程
404 0
Burp Suite Professional 2025.3 发布,引入 Burp AI 通过人工智能增强安全测试工作流程
|
安全 Java API
解决 Swagger API 未授权访问漏洞:完善分析与解决方案
Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
|
9月前
|
消息中间件 安全 Java
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
本文介绍了多个软件的安全漏洞及其复现过程,涉及的软件包括Vulhub、Flask、ActiveMQ、Adminer、Airflow、Apache Druid、Apereo CAS、APISIX、AppWeb、Aria2、Bash、Cacti、Celery、CGI、ColdFusion和Confluence。每个部分详细描述了漏洞的背景、环境搭建步骤、漏洞复现的具体操作和验证方法。例如,Flask的SSTI漏洞通过构造特定的模板参数实现命令执行;ActiveMQ的反序列化漏洞利用特制的序列化对象触发;这些示例不仅展示了漏洞的危害性,还提供了实际的复现步骤,帮助读者深入理解这些安全问题。
1651 3
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
|
11月前
|
Java
kali安装专业版burpsuite
kali安装专业版burpsuite
kali安装专业版burpsuite
|
11月前
|
安全 数据安全/隐私保护
Burpsuite Proxy代理功能
Burpsuite Proxy代理功能
|
9月前
|
存储 弹性计算 运维
端到端的ECS可观测性方案,助力云上业务安全稳定
本文介绍了云原生时代保障业务系统可靠性的方法和挑战,重点探讨了阿里云ECS在提升业务稳定性、性能监控及自动化恢复方面的能力。文章分为以下几个部分:首先,阐述了业务可靠性的三个阶段(事前预防、事中处理、事后跟进);其次,分析了云上业务系统面临的困难与挑战,并提出了通过更实时的监测和自动化工具有效规避风险;接着,详细描述了ECS实例稳定性和性能问题的解决方案;然后,介绍了即将发布的ECS Lens产品,它将全面提升云上业务的洞察能力和异常感知能力;最后,通过具体案例展示了如何利用OS自动重启和公网带宽自适应调节等功能确保业务连续性。总结部分强调了ECS致力于增强性能和稳定性的目标。
|
11月前
|
SQL 安全 测试技术
Burpsuite Scanner主动扫描生成安全评估报告
Burpsuite Scanner主动扫描生成安全评估报告
|
存储 移动开发 前端开发
探秘react,一文弄懂react的基本使用和高级特性
该文章全面介绍了React的基本使用方法与高级特性,包括JSX语法、组件化设计、状态管理、生命周期方法、Hooks使用、性能优化策略等内容,并探讨了Redux和React Router在项目中的集成与应用。
探秘react,一文弄懂react的基本使用和高级特性
|
人工智能 Linux Docker
一文详解几种常见本地大模型个人知识库工具部署、微调及对比选型(1)
近年来,大模型在AI领域崭露头角,成为技术创新的重要驱动力。从AlphaGo的胜利到GPT系列的推出,大模型展现出了强大的语言生成、理解和多任务处理能力,预示着智能化转型的新阶段。然而,要将大模型的潜力转化为实际生产力,需要克服理论到实践的鸿沟,实现从实验室到现实世界的落地应用。阿里云去年在云栖大会上发布了一系列基于通义大模型的创新应用,标志着大模型技术开始走向大规模商业化和产业化。这些应用展示了大模型在交通、电力、金融、政务、教育等多个行业的广阔应用前景,并揭示了构建具有行业特色的“行业大模型”这一趋势,大模型知识库概念随之诞生。
154637 30
|
11月前
|
SQL 安全 测试技术
Burpsuite Decoder解码功能实战
Burpsuite Decoder解码功能实战