如何武装你的BurpSuite（一）

F12sec

发布于 2022-09-29 19:43:49

1.8K0

发布于 2022-09-29 19:43:49

文章被收录于专栏：F12sec

前言

由于上次发了一篇文章，记一次Apache Shiro权限绕过实战，文章中出现了利用BurpSutie扩展，快速定位Shiro框架资产的插件，很多同学找我问了这是什么插件，于是我决定写篇文章分享一下自己所收集的部分BurpSutie扩展，供各位参考使用。

每个工具下面都放了github项目地址，但有部分工具是需要自行编译的，考虑到大部分同学应该是不太想搭环境再进行编译的，我就将已经编译好的工具打包放在了github和百度网盘（二者选其一即可）中，方便大家下载。

注：部分.py的扩展插件需要安装jython环境才能安装 jython环境安装教程：

https://blog.csdn.net/god_zzZ/article/details/104019232

所有项目github打包地址：

https://github.com/LiAoRJ/burp-extend

百度网盘地址：

https://pan.baidu.co/s/19GmDR0iX_MbHZuv9lh5kwg 提取码: nb2i

FastjsonScan

—— FastjsonRCE检测工具

github地址：

https://github.com/Maskhe/FastjsonScan

一个简单的Fastjson反序列化检测burp插件,能够在渗透测试时快速提高效率。该工具实战可以看我之前的一篇文章，记一次fastjsonRCE实战。

Struts2-RCE

—— Struts2RCE检测工具

用于检查struts2 RCE漏洞的Burp扩展插件 github地址：

https://github.com/prakharathreya/Struts2-RCE

目前支持漏洞（S2-001、S2-007、S2-008、S2-012、S2-013、S2-014、S2-015、S2-016、S2-019、S2-029、S2-032、S2-033、S2-037、S2-045、S2-048、S2-053、S2-057、S2-DevMode）

ShiroPoc

—— Shiro回显利用工具

并不是很推荐这个工具，对于Shiro反序列化的利用，目前个人认为Xray高级版中未开源的独家反序列化利用链才是最完美的,其次是飞鸿师傅的ShiroExploit图形化工具。

github地址:

https://github.com/potats0/shiroPoc

生成后，会自动替换request内容，并攻击

补一个飞鸿师傅的ShiroExploit图形化工具。

github地址：

https://github.com/feihong-cs/ShiroExploit-Deprecated

Autorize

—— 越权自动化测试工具

Autorize 是一个测试权限问题的插件，可以在插件中设置一个低权限账号的 cookie ，然后使用高权限的账号去浏览所有功能，Autorize 会自动用低权限账号的 cookie 重放请求，同时也会发一个不带 cookie 的请求来测试是否可以在未登录状态下访问。该插件可以直接在Bapp Store 安装。

如果结果中的 Authorization Enforce 列是绿色，那么就可以确定该请求两个账号都可以访问了。

下面是一次对edu站点的实战，两个账户都可以访问，出现里未授权访问漏洞并找到了到了上传接口，未授权访问Getshell！！（漏洞已提交至教育行业漏洞报告平台）。

Chunked coding coverter

—— 分块传输插件（注入时绕WAF有奇效）

github地址：

https://github.com/c0ny1/chunked-coding-converter

Chunk分块传输方法是一种有效的绕过WAF的Web攻击手段。其原理是利用Transfer-Encoding: chunked这个HTTP请求头，当HTTP请求中含有这个请求头时，则传输的数据全部可进行分块编码。

分块传输原理可以查看下面师傅的文章（十分详细）

利用分块传输绕WAF https://www.cnblogs.com/renhaoblog/p/13395539.html
唯快不破的分块传输绕WAF
技术讨论 | 在HTTP协议层面绕过WAF https://www.freebuf.com/sectool/193659.html

利用chunked-coding-converter分块传输绕过安全狗防护

分块传输与Sqlmap联动

python2 sqlmap.py -u "http://192.168.34.1:8090/sqli-labs-php7-master/Less-11/" --random-agent --data="uname=%3Bk^&pas swd=^&submit=Submit" --proxy=http://127.0.0.1:8080 --fresh-queries -v 3

Sqlmap4Burp++

—— BurpSuite与Sqlmap联动插件（极力推荐）

这可真是个省时省力的插件，我直接吹爆！

github地址：

https://github.com/c0ny1/sqlmap4burp-plus-plus

sqlmap4burp++是一款兼容Windows，mac，linux多个系统平台的Burpsuite与sqlmap联动插件。

配置好Python与Sqlmap的路径和参数点击OK，会自动利用Sqlmap跑这个POST包，再也不用Copy到文件中，然后再打开Sqlmap跑了！！

From wooyun search

—— 查找乌云漏洞库Payload

github地址：

https://github.com/dmgy10/wooyun-payload

这是一款对乌云漏洞库payload的整理的Burp辅助插件，通过http请求包中域名，路径，参数等获取乌云历史漏洞中类似的数据。

该动图来自对乌云漏洞库payload的整理以及Burp辅助插件。 该插件我还没有成功利用过，遂不予评价，仅供各位同学参考。

HaE

—— 信息高亮标记与提取（对于会写正则的同学极力推荐）

github地址：

https://github.com/gh0stkey/HaE

HaE是基于 BurpSuite 插件 JavaAPI 开发的请求高亮标记与信息提取的辅助型插件。

出现颜色高亮，说明出现了敏感信息。

该插件可以通过自定义正则的方式匹配响应报文，可以自行决定符合该自定义正则匹配的相应请求是否需要高亮标记、信息提取。

注：HaE的使用，对测试人员来说需要基本的正则表达式基础，由于Java正则表达式的库并没有Python的优雅或方便，在使用正则的，HaE要求使用者必须使用()将所需提取的表达式内容包含；例如你要匹配一个Shiro应用的响应报文，正常匹配规则为rememberMe=delete，如果你要提取这段内容的话就需要变成(rememberMe=delete)。

Passive Scan Client

—— 被动扫描流量转发

github地址：

https://github.com/c0ny1/passive-scan-client

被动扫描流量转发插件,这个插件我一般用来与Xray联动，

设置好Host和Port 点击Run按钮即可转发流量 Xray输入命令

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:1664 --html-output xray-testphp.html

用的DVWA靶场，效果

DVWA靶场效果

Content Type Converter

—— 快速互相转换XML到JSON的插件

此插件可以在BurpSuite自带的软件商城下载到。

该插件可以快速互相转换XML到JSON，或许很多同学会觉得没有用，但笔者以前看到过一篇文章，是一篇对于企业SRC挖掘的，正常环境之中，POST包没有任何问题，但将数据包转换为JSON时出现了FastjsonRCE，就是这一个细节，拿下了一个高危的漏洞，所以说有时尝试一下未免不是一件坏事，而且又是利用插件，方便又快捷。

Copy As PythonRequests

—— （参加AWD比赛的同学极力推荐）

Copy As Python-Requests 插件可以在BurpSuite自带的软件商城中下载到。

该插件的功能是拦截下来的数据包转换成python requests代码。如果有参加AWD攻防的同学应该知道，在AWD现场是需要编写脚本快速拿到其他对手的Flag的，所以唯一的办法就是编写脚本，而这个插件就能帮助我们快速编写脚本，将数据包直接转换成requests代码，减少了部分的工作，实在是很爽！点击Copy as requests 然后就会自动将代码格式转换，我们再粘贴到编辑器中就行了。