能让你躺着挖洞的BurpSuite插件

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

说躺有点夸张了哈，但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。

插件列表：

1.ShiroScan：被动发现Shiro反序列化漏洞
2.FastJsonScan：被动式FastJson检测插件
3.log4j2burpscanner：被动发现log4j2 RCE漏洞
4.Struts2Burp：被动发现Struts2 RCE漏洞

目前比较好用的是上面的几个插件，还有其他的一些辅助插件全部放到下载链接里了，具体用途可以直接百度哈，本文主要介绍上面的四个插件。

Burp suite 也可以加载python脚本，需要安装jython-standalone-2.7.2.jar包。

网盘下载：

链接：https://pan.baidu.com/s/1-mova6C97Ri1xkxNqmAMNA

提取码：6666

实战

一、安装插件

插件存放路径尽量不要有中文，有可能会报错，其他的jar包都是一样的这样安装，注意：安装失败时Errors会有报错信息，一般就是burpsuite版本不匹配，我用的是最新版本可以使用，下面有安装方法。

工具篇-BurpSutie Pro 2021.10.1最新版本

（插件安装）

（ython-standalone-2.7.2.jar解释器安装,目的是可以加载python脚本）

（python脚本插件安装）

二、ShiroScan、FastJsonScan、Struts2Burp插件使用

这三个插件安装完成就可以使用，在日常测试过程中被动发现漏洞，发现漏洞后会在Dashboard中显示

（偷来的图）

（详细的漏洞列表在相应的模块中也可以查看）

三、log4j2burpscanner插件使用

log4j2burpscanner需要配置dnslog来接收回显

（挖政府和教育的需要注意把限制取消）

以上的都配置完成后就可以愉快的挖洞了

高级操作可以查看下面文章哈：

一键启动+AWVS+Sqlmap+BurpSutie+Xray多级代理联合挖洞

往期内容

平台让人打穿了（Shiro反序列化）

新时代IT农民工资料中转站

Mqtt消息订阅服务渗透

更多资讯长按二维码 关注我们

   专业的信息安全团队，给你最安全的保障。定期推送黑客知识和网络安全知识文章，让各位了解黑客的世界，学习黑客知识，普及安全知识，提高安全意识。

觉得不错点个“赞”呗