Burpsuite 插件的学习与使用

Burpsuite 插件的学习与使用

burp 可以使用三种语言编写的扩展插件，Java、python 和 ruby 。
除Java外，其它两种语言需要的扩展插件需要专门的配置运行环境。即 Location of Jython(Ruby) standalone JAR file: 这个选项需要下载的环境路径。

在burp中的位置

插件运行环境的下载与配置

python
官网：https://www.jython.org/
点击download ，下载Standalone Jar版本

Ruby
官网：https://www.jruby.org/
点击download ，下载 Complete Jar 版本

把路径选择好即可。

插件安装路径
默认会安装在c盘，所以这里更改一下。

配置好之后，可以通过插件文件进行添加。

也可以通过商店直接下载。

也提供了api接口，可以自己写。

——
——

安装插件演示

CSRF Token Tracker

用于渗透测试过程中CSRF Token的自动更新。

在CSRF Token Tracker模块内加上host地址和token值的参数名，勾选即可。

这里测试的是pikachu靶场中的csrf(token) 题目的修改用户信息功能。
填写，点击submit抓包。

可以看到在get请求中，除了需要修改信息的参数，还有一个token值，每次发包的token值都是不同的，所以只是修改信息的的话点发包是无效的。
但是前面已经在 CSRF Token Tracker插件中设置好了，会自动更新Token。
所以这里只需要改需要修改的参数值，一直发包都可以修改成功，token会自动更新。

——

sqlmap4burp与 burp联动插件

github项目：https://github.com/c0ny1/sqlmap4burp-plus-plus/releases

使用方式，action-extensions-send to sqlmap4burp