武装你的BurpSuite(二) (qq.com)
BurpSuite插件三种常见安装方式BApp Store安装方式:BurpSuite提供了一个官方的BApp Store的,可以在其中浏览、下载和安装各种插件。步骤如下: 打开BurpSuite软件,进入“Extender”选项卡,点击“BApp Store”按钮。 在BApp Store中找到需要的插件,点击“Install”按钮进行安装。 安装完成后,在“Extender”选项卡中的“Extensions”子选项卡下可以看到已安装的插件。 手动安装方式:也可以手动安装BurpSuite插件的。步骤如下: 在github搜索需要的插件,并下载对应的JAR文件。 打开Burp Suite软件,进入“Extender”选项卡,点击“Add”按钮。 在弹出的窗口中选择下载的JAR文件,并点击“Next”按钮。 根据插件的说明,配置插件所需的设置。 完成配置后,在“Extender”选项卡中的“Extensions”子选项卡下可以看到已安装的插件。 命令行安装方式:BurpSuite还提供了命令行安装插件的方式。步骤如下: 在github搜索需要的插件,并下载对应的JAR文件。打开命令行终端,使用以下命令进行安装: java -jar <path-to-burp.jar> --install-plugin <path-to-plugin.jar>其中,<path-to-burp.jar>是Burp Suite软件的路径,<path-to-plugin.jar>是插件的路径。 根据插件的说明,配置插件所需的设置。 完成配置后,在“Extender”选项卡中的“Extensions”子选项卡下可以看到已安装的插件。 以上三种方法都是安装BurpSuite插件的可行方式。可以根据自己的需求和使用习惯选择合适的安装方式。 10个常用的BurpSuite插件1.BurpShiroPassiveScan:一款基于BurpSuite的被动式shiro检测插件,该插件会对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测。 https://github.com/pmiaowu/BurpShiroPassiveScan 2.Fastjson-Patrol:一款python编写的探测fastjson反序列化漏洞的BurpSuite插件,通过ceye探测fastjson 1.2.24、1.2.47和1.2.68版本的反序列化漏洞。 https://github.com/ce-automne/FastjsonPatrol 3.TPLogScan:ThinkPHP3和5日志扫描工具,提供命令行版和BurpSuite插件版,尽可能全的发掘网站日志信息。 https://github.com/r3change/TPLogScan 4.nuclei-burp-plugin:Nuclei 模板生成器 Burp 插件。 https://github.com/projectdiscovery/nuclei-burp-plugin 5.npscrack burp插件:Burp插件,蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc等一键利用。 https://github.com/weishen250/npscrack 6.OutLook:一款burp插件,用于Outlook用户信息收集,在已登录Outlook账号后,可以使用该插件自动爬取所有联系人的信息。 https://github.com/KrystianLi/OutLook 7.JsonDetect:支持被动扫描json,根据不同json库的特性识别出相应的json依赖库的burp插件。 https://github.com/a1phaboy/JsonDetect 8.autoDecoder:根据自定义来达到对数据包的处理(适用于加解密、爆破等),类似mitmproxy的burp插件。 https://github.com/f0ng/autoDecoder 9.base64encode:一款支持burpsuite POST数据包base64编码插件。 https://github.com/handbye/base64encode 10.burpFakeIP:服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件。 https://github.com/TheKingOfDuck/burpFakeIP
| 
发表于 2023-4-27 23:19:53