我个人使用burp的一些标配插件。
关于burp破解可以直接用大佬的注册机,程序直接下官方的原版就行,网上教程多这里不再bb。
https://portswigger.net/burp/releases
https://github.com/TrojanAZhen/BurpSuitePro-2.1
根据个人需求来装。
https://github.com/ewilded/shelling
跑命令执行代码执行
商店下载
商店下载
下载地址:https://github.com/elkokc/reflector
通过设置Content-Type, 我们可以快速找到请求中的参数哪个被返回到回显的Body。
下载地址:https://github.com/InitRoot/BurpJSLinkFinder
下载地址:https://github.com/d3vilbug/HackBar
不用说
下载地址:https://github.com/ethicalhackingplayground/ssrf-king
支持扫描和自动发现SSRF漏洞。
下载地址:https://github.com/theLSA/burp-sensitive-param-extractor
检测敏感参数
下载地址:https://github.com/theLSA/burp-unauth-checker
检测未授权
下载地址:https://github.com/zilong3033/fastjsonScan
不多说
下载地址:https://github.com/pmiaowu/BurpShiroPassiveScan
自动检测Shiro+发现密钥,不依赖dnslog来检查。
下载地址:https://github.com/gh0stkey/HaE
用于高亮特征和定位敏感信息
下载地址:https://github.com/ScriptKid-Beta/Unexpected_information
用于高亮特征和定位敏感信息和HaE一样,我用的这个,HaE也不错
美化json
商店有,美化json。新版本用来替代JSONBeautifier。但是我还是喜欢用JSONBeautifier。
下载地址:https://github.com/sting8k/BurpSuite_403Bypasser
用各种姿势来绕过403访问
扫描LFI的,找不到地址了
下载地址:https://github.com/c0ny1/sqlmap4burp-plus-plus
联动sqlmap