【工具推荐】Burp插件推荐第一期

安全编辑

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。

[ 插件简介 ]

Burp插件

是本期主要推荐了4款burp插件：

burpFakeIP：用于测试过程中伪造IP

BurpShiroPassiveScan：Shiro扫描器扫描shiro弱密钥

BurpAPIFinder：敏感信息收集包括电话、key、敏感接口等

BurpJSLinkFinder：JS链接收集

01

—

burpFakeIP

伪造IP

下载使用：

https://github.com/TheKingOfDuck/burpFakeIP/releases/tag/1.0

四个小功能

• 伪造指定ip
• 
  伪造本地ip
  
• 
  伪造随机ip
  
• 随机ip爆破
  

0x01 伪造指定ip

在Repeater模块右键选择fakeIp菜单,然后点击inputIP功能,然后输入指定的ip：

程序会自动添加所有可伪造得字段到请求头中。

0x02 伪造本地ip

在Repeater模块右键选择fakeIp菜单,然后点击127.0.0.1功能：

0x03 伪造随机ip

在Repeater模块右键选择fakeIp菜单,然后点击randomIP功能：

0x04 随机ip爆破

伪造随机ip爆破是本插件最核心的功能。

将数据包发送到Intruder模块,在Positions中切换Attack type为Pitchfork模式,选择好有效的伪造字段,以及需要爆破的字段:
按照箭头顺序将Payload来源设置为Extensin-generated,并设置负载伪fakeIpPayloads,然后设置第二个变量。

点击Start attack开始爆破.

如上图,实现每次爆破都使用不同的伪ip进行,避免被ban。

PS：伪造随机ip爆破的先决条件可以伪造ip绕过服务器限制。

02

—

BurpShiroPassiveScan

BurpShiroPassiveScan 一个希望能节省一些渗透时间好进行划水的扫描插件

该插件会对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测

目前的功能如下

shiro框架指纹检测

shiro加密key检测,cbc,gcm

下载地址：

https://github.com/pmiaowu/BurpShiroPassiveScan

1、安装

Extender-->Extensions中点击Add

选择类型java

选择下载的BurpShiroPassiveScan.jar文件

2、使用

下载完毕以后,请务必打开 /resources/config.yml 看看配置文件,里面有很多自定义的功能,可以自由选择, 例如添加shiro key功能

查看位置

03

—

BurpAPIFinder

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该BurpAPIFinder插件我们可以：

1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证

2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口

3、发现登陆后台网址

4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey

5、自动提取js、html中路径进行访问，也支持自定义父路径访问

功能如下

• 提取网站的URL链接和解析JS文件中的URL链接(不单单正则、支持多种模式提取)
• 前段界面可自行定义敏感关键词、敏感url匹配
• 界面可配置的开启主动接口探测、敏感信息获取
• 支持用户自定义父路径重新开发扫描任务
• 集成主流攻防场景敏感信息泄漏的指纹库
• 集成HaE的敏感信息识别指纹
• 集成APIKit的敏感信息识别指纹
• 集成sweetPotato的敏感信息识别指纹
  

   

下载链接：

https://github.com/shuanx/BurpAPIFinder/releases/download/v2.0/BurpAPIFinder-high-v2.0.2.jar

1、安装

2、查看

在工具栏找到插件点击即可查看收集到的信息

04

—

BurpJSLinkFinder

用于被动扫描网站JS 文件中的链接。

将结果导出到文本文件

排除特定的 'js' 文件，例如 jquery、google-analytics

下载地址：

https://github.com/InitRoot/BurpJSLinkFinder

1、安装

配置 Burp Suite 的 Jython 环境访问 Jython 官网：https://www.jython.org/download

下载最新版本的 Standalone JAR 文件（如 jython-standalone-2.7.3.jar）。

• 打开 Burp Suite，进入 Extender 选项卡。
• 点击 Options 子选项卡，找到 Python Environment 部分。
• 在 Location of Jython standalone JAR file 处，点击 Select File，选择你下载的 Jython JAR 文件。
  
  

安装插件选择类型为python选择下载的FransLinkfinder.py

2、使用
开启代理之后访问网页
在菜单栏找到BurpJSLinkFinder

可以通过修改py文件JSExclusionList来排除列表。 将不会分析任何包含所包含单词的字符串。

• JSExclusionList = ['jquery', 'google-analytics','gpt.js','modernizr','gtm','fbevents']