能让你躺着挖洞的BurpSuite插件

能让你躺着挖洞的BurpSuite插件_第1张图片

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维15eec9a584127a972734ce692ebbe350.png

让我们每天进步一点点

简介

说躺有点夸张了哈,但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。

插件列表:

1.ShiroScan:被动发现Shiro反序列化漏洞
2.FastJsonScan:被动式FastJson检测插件
3.log4j2burpscanner:被动发现log4j2 RCE漏洞
4.Struts2Burp:被动发现Struts2 RCE漏洞

目前比较好用的是上面的几个插件,还有其他的一些辅助插件全部放到下载链接里了,具体用途可以直接百度哈,本文主要介绍上面的四个插件。

Burp suite 也可以加载python脚本,需要安装jython-standalone-2.7.2.jar包。

网盘下载:

链接:https://pan.baidu.com/s/1-mova6C97Ri1xkxNqmAMNA

提取码:6666

能让你躺着挖洞的BurpSuite插件_第2张图片

实战

一、安装插件

插件存放路径尽量不要有中文,有可能会报错,其他的jar包都是一样的这样安装,注意:安装失败时Errors会有报错信息,一般就是burpsuite版本不匹配,我用的是最新版本可以使用,下面有安装方法。

工具篇-BurpSutie Pro 2021.10.1最新版本

(插件安装)

能让你躺着挖洞的BurpSuite插件_第3张图片

(ython-standalone-2.7.2.jar解释器安装,目的是可以加载python脚本)

能让你躺着挖洞的BurpSuite插件_第4张图片

(python脚本插件安装)

能让你躺着挖洞的BurpSuite插件_第5张图片

二、ShiroScan、FastJsonScan、Struts2Burp插件使用

这三个插件安装完成就可以使用,在日常测试过程中被动发现漏洞,发现漏洞后会在Dashboard中显示

(偷来的图)

能让你躺着挖洞的BurpSuite插件_第6张图片

(详细的漏洞列表在相应的模块中也可以查看)

能让你躺着挖洞的BurpSuite插件_第7张图片

三、log4j2burpscanner插件使用

log4j2burpscanner需要配置dnslog来接收回显

能让你躺着挖洞的BurpSuite插件_第8张图片

(挖政府和教育的需要注意把限制取消)

能让你躺着挖洞的BurpSuite插件_第9张图片

以上的都配置完成后就可以愉快的挖洞了

高级操作可以查看下面文章哈:

一键启动+AWVS+Sqlmap+BurpSutie+Xray多级代理联合挖洞

往期内容

平台让人打穿了(Shiro反序列化)

新时代IT农民工资料中转站

Mqtt消息订阅服务渗透

368c1dcb8f6aabe8a85ea8e3b77a8c54.gif

能让你躺着挖洞的BurpSuite插件_第10张图片

更多资讯长按二维码 关注我们

   专业的信息安全团队,给你最安全的保障。定期推送黑客知识和网络安全知识文章,让各位了解黑客的世界,学习黑客知识,普及安全知识,提高安全意识。

觉得不错点个“赞”呗能让你躺着挖洞的BurpSuite插件_第11张图片      

你可能感兴趣的:(信息安全,python,java,大数据,linux)