BurpSuite-collections

BurpSuite 相关收集项目,插件主要是非BApp Store(商店)

  • DetSql— 快速探测可能存在SQL注入的请求并标记,提高测试效率  
https://github.com/saoshao/DetSql
  • AutorizePro— 一款越权检测 Burp 插件,通过增加AI分析模块 && 进一步优化检测逻辑,大幅降低误报率,提升越权漏洞检出效率
https://github.com/sule01u/AutorizePro
  • nowafpls— 插入垃圾字符来绕过waf
https://github.com/assetnote/nowafpls
  • gatherBurp— fastjson、权限绕过、未授权、sql注入、多层级路由、log4j扫描以及生成指定kb大小的随机字符串+子域名+代理池
https://github.com/kN6jq/gatherBurp
  • BurpFingerPrint— 集成Ehole指纹库并进行常见OA弱口令爆破插件
https://github.com/shuanx/BurpFingerPrint
  • BurpAPIFinder— API、敏感信息综合提取插件
https://github.com/shuanx/BurpAPIFinder
  • Galaxy— HTTP请求&响应全加密加签 场景下,高效的对明文报文查看、编辑和扫描
https://github.com/outlaws-bai/Galaxy
  • BurpAppletPentester— 微信小程序Wx_SessionKey加解密插件
https://github.com/mrknow001/BurpAppletPentester
  • Burpy— 基于python的前端加解密解决方案
https://github.com/mr-m0nst3r/Burpy
  • interactsh-collaborator— Interact.sh反链平台的burp插件
https://github.com/wdahlenburg/interactsh-collaborator
  • burpsuite_hack— 被动代理扫描插件,可检测SQL注入、SSRF漏洞
https://github.com/depycode/burpsuite_hack
  • BypassPro— 对权限绕过自动化bypass的burpsuite插件源处|
https://github.com/c0r1/BypassPro
  • burp-vps-proxy— 在大多数的云服务上自动创建和删除一个上游SOCKS5代理并自动应用的插件
https://github.com/d3mondev/burp-vps-proxy
  • CustomCrypto— Burp自定义加解密插件
https://github.com/dreamncn/CustomCrypto
  • npscrack— npscrack:蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、一键利用的BurpSuite插件
https://github.com/weishen250/npscrack
  • OneScan— 一个递归目录扫描的BurpSuite插件
https://github.com/vaycore/OneScan
  • OutLook— 一款OutLook信息收集工具,在已登录Outlook账号后,可以使用该 插件自动爬取所有联系人的信息
https://github.com/KrystianLi/OutLook
  • passive-scan-client-plus— passive-scan-client 维护分支
https://github.com/winezer0/passive-scan-client-plus
  • BpScan— 一款用于辅助渗透测试工程师日常渗透测试的Burp被动漏扫插件(SpringSpiderScan、Log4jScan和FastJsonScan)
https://github.com/EASY233/BpScan
  • BurpCRLFScan— 使用java编写的CRLF-Injection-burp被动扫描插件
https://github.com/A0WaQ4/BurpCRLFScan
  • JsonDetect— 支持被动扫描json,根据不同json库的特性识别出相应的json依赖库的burp插件
https://github.com/a1phaboy/JsonDetect
  • autoDecoder— 根据自定义来达到对数据包的处理(适用于加解密、爆破等),类似mitmproxy的burp插件
https://github.com/f0ng/autoDecoder
  • burp-text4shell— 用于CVE-2022-42889:Text4Shell 漏洞扫描burp插件
https://github.com/silentsignal/burp-text4shell
  • sweetPotato— 一款用于在burpsuite 中自动递归发现关注的域名资产和额外的流量检测插件
https://github.com/z2p/sweetPotato
  • xia_Liao— 一款用于在burpsuite 快速生成 姓名、手机号、身份证、统一社会信用代码、组织机构代码、银行卡,以及各类web语言的hello world输出插件
https://github.com/smxiazi/xia_Liao
  • HackTools— 一款支持编码、加解密、杀软查询和文本处理的 burp插件
https://github.com/Vicl1fe/HackTools
  • RouteVulScan— 递归式被动检测脆弱路径的burp插件
https://github.com/F6JO/RouteVulScan
  • fastjson-exp— fastjson利用,burp插件。 支持出网 jndi利用检测,不出网 tomcat、spring回显,哥斯拉内存马,回显利用链为dhcp、ibatis、c3p0,内存马支持tomcat89
https://github.com/skisw/fastjson-exp
  • burp-awesome-tls— burp-awesome-tls:修复Burp Suite可怕的TLS堆栈并伪造任何浏览器指纹
https://github.com/sleeyax/burp-awesome-tls
  • JustC2file— Malleable C2 Profiles生成器;可以通过Burp代理选中请求,生成Cobalt Strike的profile文件(CSprofile)
https://github.com/Peithon/JustC2file
  • SpringScan— Spring Core RCE 系列检测
https://github.com/metaStor/SpringScan
  • captcha-killer-modified— captcha-killer的修改版,主要用于验证码爆破,适配新版Burpsuite,支持 dddocr 调用
https://github.com/f0ng/captcha-killer-modified
  • BurpFastJsonScan— BurpFastJsonScan,一款基于BurpSuite的被动式FastJson检测插件
https://github.com/pmiaowu/BurpFastJsonScan
  • xia_sql— sql注入检测:在每个参数后面填加一个单引号,两个单引号,一个简单的判断注入小插件
https://github.com/smxiazi/xia_sql
  • burpFakeIP— 服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件
https://github.com/TheKingOfDuck/burpFakeIP
  • Log4j-check— 又一款被动扫描检测 log4j 漏洞的 burp 插件
https://github.com/bigsizeme/Log4j-check
  • Log4j2Scan— 一款被动检测是否存在 log4j 漏洞的 burp 插件
https://github.com/whwlsfb/Log4j2Scan
  • TProxer— 一款 Python 编写的 burp插件,用来自动化查找基于 SSRF 的反向代理目录探测插件
https://github.com/ethicalhackingplayground/TProxer
  • CaA— 收集 burp 流量参数、路径等关键参数并入库,帮助分析或者直接调用的插件
https://github.com/gh0stkey/CaA
  • BurpCrypto— BurpCrypto一款支持多种加密算法的用于爆破前端加密的Burp插件,支持直接直接js加密方法,不需要安装第三方组件
https://github.com/whwlsfb/BurpCrypto
  • BurpBountyPlus— BurpBountyPlus 是在BurpBounty的基础添加了右键菜单功能,添加支持了对单个数据包单个参数的漏洞扫描和fuzzer,打通渗透测试的最后一公里,提高效率
https://github.com/ggg4566/BurpBountyPlus
  • BurpExtractor— 从请求和响应提取参数,供爆破、重放等调用
https://github.com/NetSPI/BurpExtractor
  • burp-cph— 也是从请求和响应提取参数,供爆破、重放调用
https://github.com/elespike/burp-cph
  • sql-sup— 实现参数溢出、垃圾数据、字典笛卡尔积
https://github.com/S9MF/sql-sup
  • BurpJSLinkFinder— 从js里挖掘域名和url等隐藏接口信息
https://github.com/InitRoot/BurpJSLinkFinder
  • domain_hunter_pro—domain_hunter的高级版本,SRC挖洞、HW打点之必备
https://github.com/bit4woo/domain_hunter_pro
  • charset_0.4.py—通过字符集编码绕过waf的burp插件
https://github.com/GuoKerS/Charset_encoding-Burp
  • struts_ext_v2.jar—支持burpsuite插件形式调用检查struts2系列漏洞
https://github.com/prakharathreya/Struts2-RCE
  • JC-AntiToken—用python编写的简单防重放绕过burp插件,可以在请求的时候自动从特定源请求下一步的token。
https://github.com/chroblert/JC-AntiToken
  • BurpCustomizer—新版burp皮肤切换插件,自带几十种皮肤(仅支持2020.12及以上版本的burp),使用方法简单:加载插件,在 Customizer Tab下切换皮肤即可
https://github.com/CoreyD97/BurpCustomizer
  • BurpSuite_403Bypasser—用python编写的用来测试绕过403的插件。
https://github.com/sting8k/BurpSuite_403Bypasser
  • Burp-Non-HTTP-Extension—一款用于Burpsuite抓取非HTTP流量的插件。
https://github.com/summitt/Burp-Non-HTTP-Extension
  • burp-unauth-checker—一款用python开发用来自动化检查未授权漏洞的burp插件。
https://github.com/theLSA/burp-unauth-checker
  • Unexpected.informationv—一款用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们疏忽了一些数据包的插件,内置了八种常见的敏感信息(身份证信息、手机号信息、IP信息、邮箱信息、JS文件API接口路径、特殊字段(password、method: “post”…)、双向检测、高亮显示等),体验不错。
https://github.com/ScriptKid-Beta/Unexpected_information
  • HaE— 一款使用Java开发的信息高亮标记与提取插件,比之前介绍过的两款(BurpSuite-Xkeys和IntelligentAnalysis-SSTVINFO)体验要好一点(需要手动写检测规则,内置只有一个邮箱的检测规则)。
https://github.com/gh0stkey/HaE
  • BurpShiroPassiveScan—一款基于BurpSuite的被动式shiro检测插件,目前有两大功能1.shiro框架指纹检测 2.shiro加密key检测
https://github.com/pmiaowu/BurpShiroPassiveScan
  • shiro-check—Shiro反序列化回显利用检查 Burp插件
https://github.com/bigsizeme/shiro-check
  • FastjsonScan—由阿信师傅开发的检测Fastjson反序列化的burp插件
https://github.com/Maskhe/FastjsonScan
  • fastjsonScan— fastjson漏洞burp插件,检测fastjson<1.2.68基于dnslog,fastjson<=1.2.24和1.2.33<=fatjson<=1.2.47的不出网检测和TomcatEcho,SpringEcho回显方案
https://github.com/zilong3033/fastjsonScan
  • BurpSuite-Extender-fastjson—一款自动检测fastjson rce的py插件,可检测1.2.24和1.2.47。若存在漏洞自动标注该流量,并在output中输出内容。
https://github.com/uknowsec/BurpSuite-Extender-fastjson
  • BurpSuite-Xkeys—一款由国外师傅基于python编写的提取网页敏感信息插件,类似于前期推荐的年华师傅写的IntelligentAnalysis-SSTVINFO插件功能,欢迎体验使用。
https://github.com/vsec7/BurpSuite-Xkeys
  • Burp_AES_Plugin— 一款用于爆破AES加密CBC模式的爆破插件,使用之前需要修改src/main/java/burp/BurpExtender.java当中的keyiv值,然后使用mvn install编译即可。
https://github.com/jas502n/Burp_AES_Plugin
  • sqlmap4burp++.0.2.jar—多平台无需外部依赖的burp联动sqlmap插件,使用也很简单,导入在burp拦截的请求里或者重放都可以直接发送到sqlmap4burp界面,第一次需要选择sqlmap.py文件位置进行设置,详细的可以看
https://github.com/c0ny1/sqlmap4burp-plus-plus
  • knife-1.8-jar-with-dependencies.jar—bit4表哥开发的一款burpsuite增强功能插件,主要是增加右键菜单功能(包含hackbar++插件功能),同时增加Tab区域,比如U2C(将 Unicode 形式的字符转换为中文,比如\u4e2d\u6587–>中文),非常实用的功能,可以在测试的时候提高效率,

© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容