Burpsuite 插件的学习与使用

Burpsuite 插件的学习与使用

burp 可以使用三种语言编写的扩展插件,Java、python 和 ruby 。
除Java外,其它两种语言需要的扩展插件需要专门的配置运行环境。即 Location of Jython(Ruby) standalone JAR file: 这个选项需要下载的环境路径。

在burp中的位置
Burpsuite 插件的学习与使用_第1张图片

插件运行环境的下载与配置

python
官网:https://www.jython.org/
点击download ,下载Standalone Jar版本
Burpsuite 插件的学习与使用_第2张图片

Ruby
官网:https://www.jruby.org/
点击download ,下载 Complete Jar 版本
Burpsuite 插件的学习与使用_第3张图片

把路径选择好即可。
Burpsuite 插件的学习与使用_第4张图片

插件安装路径
默认会安装在c盘,所以这里更改一下。
Burpsuite 插件的学习与使用_第5张图片

配置好之后,可以通过插件文件进行添加。
Burpsuite 插件的学习与使用_第6张图片

也可以通过商店直接下载。
Burpsuite 插件的学习与使用_第7张图片

也提供了api接口,可以自己写。
Burpsuite 插件的学习与使用_第8张图片

——
——

安装插件演示

CSRF Token Tracker

用于渗透测试过程中CSRF Token的自动更新。
Burpsuite 插件的学习与使用_第9张图片

在CSRF Token Tracker模块内加上host地址和token值的参数名,勾选即可。
Burpsuite 插件的学习与使用_第10张图片

这里测试的是pikachu靶场中的csrf(token) 题目的修改用户信息功能。
填写,点击submit抓包。
Burpsuite 插件的学习与使用_第11张图片

可以看到在get请求中,除了需要修改信息的参数,还有一个token值,每次发包的token值都是不同的,所以只是修改信息的的话点发包是无效的。
但是前面已经在 CSRF Token Tracker插件中设置好了,会自动更新Token。
所以这里只需要改需要修改的参数值,一直发包都可以修改成功,token会自动更新。
Burpsuite 插件的学习与使用_第12张图片

——

sqlmap4burp与 burp联动插件

github项目:https://github.com/c0ny1/sqlmap4burp-plus-plus/releases
Burpsuite 插件的学习与使用_第13张图片

使用方式,action-extensions-send to sqlmap4burp
Burpsuite 插件的学习与使用_第14张图片

你可能感兴趣的:(工具使用)