如何给burpsuite添加插件

Posted 2023-04-02

参考技术A 修复浏览器方案(请活学活用以下方法——根据具体情况决定做哪些) 1、打开浏览器，点“工具”→“管理加载项”那里禁用所有可疑插件,或者你能准确知道没问题的保留。然后→工具→INTERNET选项→常规页面→删除cookies→删除文件→钩选删除所有脱机内容→确定→设置使用的磁盘空间为：8MB或以下→确定→清除历史纪录→网页保存在历史记录中的天数：3以下→应用确定（我自己使用的设置是“0”天）。 2、还原浏览器高级设置：工具→INTERNET选项→高级→还原默认设置。不想还原默认设置请保持第一条的设置不变。 3、恢复默认浏览器的方法“工具”→Internet选项→程序→最下面有个“检查Internet Explorer是否为默认的浏览器”把前面的钩选上,确定。 4、设置主页：“工具”→Internet选项→常规→可以更改主页地址→键入你喜欢的常用网址→应用。 5、如果浏览器中毒就使用卡卡助手修复,然后做插件免疫：全部钩选→免疫。然后→全部去掉钩选→找到“必备”一项，把能用到的插件重新钩选→取消免疫。能用到的就是FLASH和几种播放器的，其余的不要取消免疫。完成所有操作以后，你的浏览器就不会出问题了 。

burpsuite编写插件--环境安装

Burpsuite编写插件环境搭建

在安全测试过程中，我们经常会使用到burpsuite，在burp中允许我们自己编写插件，在Extender-BApp Store中可以选择我们要安装的插件：

但是有时候找不到我们需要的插件，这时候需要我们自己编写，burp支持使用python、java、ruby三种语言。下面我来讲解一下如何使用python编写burpsuite插件。（我是在windows下操作的，其他操作系统相似）

1. 使用python编写插件，我们需要导入jython standalone jar包，该包在哪里下载？为什么需要该包？

BurpSuite 是使用 Java 编程语言编写的，所以想要使用 Python 编程语言开发其插件，就必须借助于 Jython。Jython 本质上是一个 Java 应用程序，它允许 coder 们使用 Java 代码调用 Python 库反之，也可以使用 Python 调用 Java 的库。
jython standalone jar的下载地址：http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar

2.如何将jython加载到burp中？

在burp中Extender-Options中加载jython包

3.测试jython是否安装成功？是否可以加载我们自己编写的插件？

在这里我编写了一个测试用例，用来测试我们自己编写的插件是否可以正常使用。
`from burp import IBurpExtender
from burp import IHttpListener
from java.io import PrintWriter

class BurpExtender(IBurpExtender, IHttpListener):

#
#implement IBurpExtender
#
def    registerExtenderCallbacks(self, callbacks):
    # keep a reference to our callbacks object
    self._callbacks = callbacks

    # set our extension name
    callbacks.setExtensionName("fanyingjie")

    # obtain our output stream
    self._stdout = PrintWriter(callbacks.getStdout(), True)

    self._helpers  = callbacks.getHelpers()

    # register ourselves as an
    callbacks.registerHttpListener(self)

def processHttpMessage(self,toolFlag,messageIsRequest, messageInfo):
    self._stdout.println("success")

`

将以上代码保存成example.py；

如果都安装正确则在Output模块会出现大量success；如果在加载插件时提示error，则表明jython包安装出错了。

4.有时候我们编写插件需要加载其他模块，比如requests，当插件中导入requests模块会如何？

在测试代码中加入requests模块

from burp import IBurpExtender
from burp import IHttpListener
from java.io import PrintWriter
import requests

class BurpExtender(IBurpExtender, IHttpListener):

    #
    #implement IBurpExtender
    #
    def    registerExtenderCallbacks(self, callbacks):
        # keep a reference to our callbacks object
        self._callbacks = callbacks

        # set our extension name
        callbacks.setExtensionName("fanyingjie")

        # obtain our output stream
        self._stdout = PrintWriter(callbacks.getStdout(), True)

        self._helpers  = callbacks.getHelpers()

        # register ourselves as an
        callbacks.registerHttpListener(self)

    def processHttpMessage(self,toolFlag,messageIsRequest, messageInfo):
        self._stdout.println("success")

将该代码保存成example1.py，在burp中加载example1.py插件:（步骤3）

当我们加载插件时，burp报错没有requests模块。也许会有人问我本地安装了python，并且有requests模块为什么会出错？jython和python是两个不同的物种，至于出现这个错误的原因是我们导入的jython包中没有requests库，所以我们需要在jython包中安装requests库。

5.如何解决jython缺少相关库的问题？

我的解决方法是本机安装jython，之后缺少什么库都可以手动安装了：

下载jython包安装，下载地址：
http://search.maven.org/remotecontent?filepath=org/python/jython-installer/2.7.0/jython-installer-2.7.0.jar
双击jar包安装jython
在burp中加载jython包，加载方法如下:

安装成功后我们需要测试一下example.py该插件是否可用，注意是没有加载requests库的插件

插件可以正常使用（输出了success表名插件在运行）
接下来需要给jython安装requests库，因为我windows上没有安装jython的pip，所以我现在centos上用jython pip安装了requests库，之后将Lib\site-packages该文件整个复制到windows上：
安装jython的命令 ./jython/bin/pip install requests


到此requests包安装完毕，我们现在加载example1.py,看看是否会报错？

没有报错，正常输入success

在编写插件时需要参考api，api中将每一个方法的使用都做了详细的解释。

---

> 下一节，我们将正式编写插件--将burp与sqlmapapi结合，时时检查所有的链接参数是否存在注入？