Burpsuite 插件的学习与使用

Posted Goodric

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Burpsuite 插件的学习与使用相关的知识,希望对你有一定的参考价值。

Burpsuite 插件的学习与使用

burp 可以使用三种语言编写的扩展插件,Java、python 和 ruby 。
除Java外,其它两种语言需要的扩展插件需要专门的配置运行环境。即 Location of Jython(Ruby) standalone JAR file: 这个选项需要下载的环境路径。

在burp中的位置

插件运行环境的下载与配置

python
官网:https://www.jython.org/
点击download ,下载Standalone Jar版本

Ruby
官网:https://www.jruby.org/
点击download ,下载 Complete Jar 版本

把路径选择好即可。

插件安装路径
默认会安装在c盘,所以这里更改一下。

配置好之后,可以通过插件文件进行添加。

也可以通过商店直接下载。

也提供了api接口,可以自己写。

——
——

安装插件演示

CSRF Token Tracker

用于渗透测试过程中CSRF Token的自动更新。

在CSRF Token Tracker模块内加上host地址和token值的参数名,勾选即可。

这里测试的是pikachu靶场中的csrf(token) 题目的修改用户信息功能。
填写,点击submit抓包。

可以看到在get请求中,除了需要修改信息的参数,还有一个token值,每次发包的token值都是不同的,所以只是修改信息的的话点发包是无效的。
但是前面已经在 CSRF Token Tracker插件中设置好了,会自动更新Token。
所以这里只需要改需要修改的参数值,一直发包都可以修改成功,token会自动更新。

——

sqlmap4burp与 burp联动插件

github项目:https://github.com/c0ny1/sqlmap4burp-plus-plus/releases

使用方式,action-extensions-send to sqlmap4burp

以上是关于Burpsuite 插件的学习与使用的主要内容,如果未能解决你的问题,请参考以下文章

[WEB安全]伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP

如何给burpsuite添加插件

burpsuite编写插件--环境安装

Burpsuite-Intruder-xssValidator(XSS检测)基础学习

burpsuite扩展集成sqlmap插件

阅读sqlmap源代码,编写burpsuite插件--sqlmapapi