记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

渗透测试神器 -- BurpSuite2022.08

#web安全 3 个 #公众号 3 个 #神器 3 个 #BurpSuite 5 个 不用太多介绍吧。。。一、下载地址:1、通过项目地址下载2、关注web安全工具库公众号,后台回复:20220816二、声明:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。
发布时间:2022-08-16 02:29 | 阅读:40426 | 评论:0 | 标签:渗透 burp

万能网站密码爆破测试工具:BurpCrypto

BurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuit插件。一、编译mvn package二、为什么解决了痛点目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法,甚至有些网站在每次请求前都动态请求加密密钥等措施,对接口渗透工作造成较大障碍。依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,通过BurpCrypto内置的RSA、AES、DES模块可应对较为简单的前端加密接口,较为复杂的加密算法,可使用ExecJS模块直接手动编写处理代码。
发布时间:2022-07-19 11:00 | 阅读:51140 | 评论:0 | 标签:burp 密码

Burpsuite 资料整理

Burpsuite 资料整理, 整到一起比较方便。大家有更多关于Burpsuite的Tip请一起增量。谢谢!插件序号名称功能参考文档1Turbo intruder并发https://www.freebuf.com/secto
发布时间:2022-07-05 11:14 | 阅读:28978 | 评论:0 | 标签:burp

burp Intruder Tips

充分利用 payload processing 功能:挖洞时有时候会遇到需要爆破的字段在一串编码后的中间,如/login?p=dXNlcm5hbWU9eHh4eCZwYXNzd29yZD1wd2RtZDU%3d;对参数p 进行base64解码后就是username=xxxx&password=pwdmd5,要枚举用户或爆破密码时需要对username和password单独设置。
发布时间:2022-06-29 13:35 | 阅读:32890 | 评论:0 | 标签:burp

一款想替代并超越burpsuite的网络安全单兵工具

项目地址:https://github.com/yaklang/yakit官网安装及使用教程:https://www.yaklang.io/docs/startup免责声明本工具仅面向 合法授权 的企业安全建设行为与个人学习行为,如您需要测试本工具的可用性,请自行搭建靶机环境。在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。禁止对本软件实施逆向工程、反编译、试图破译源代码,植入后门传播恶意软件等行为。如果发现上述禁止行为,我们将保留追究您法律责任的权利。
发布时间:2022-06-28 16:37 | 阅读:31958 | 评论:0 | 标签:网络安全 安全 网络 burp

Brida配合Burp模块

 前言前一篇文章介绍了brida的安装及其基本的用法,这篇文章来讲一下brida如何更流畅地和burp联动起来。 js编写拿了一个app做测试,先简单定位到对应的加密函数。不放心可以先用frida测试一下,能否hook到数据,这里不演示了。根据上篇文章的格式,写一个hook的脚本。 配置brida自定义plugin到brida中的Custom plugin面板,简单配置下。主要是在起作用的范围,以及hook的函数,处理的时机。配置完后添加然后启用。 repeater以及intruder测试简单抓了一个涉及加密参数的包。把他放到repeater中,修改对应的加密参数为明文。然后发送。
发布时间:2022-06-24 11:43 | 阅读:30643 | 评论:0 | 标签:burp

干货 | 超详细的常用Burp爆破验证码的工具使用总结

发表于 收录于合集 #漏洞挖掘 20 个 #Burpsuite 2 个 #抓包工具 1 个 0X00 前言如果在渗透中遇到带有验证码的网站登录口,相信很多小伙伴遇到了带验证码的登录口就直接放弃了爆破弱口令的想法,这样会丧失很多机会,所以今天就让我来推荐一些可以识别验证码的Burp插件,以此用来爆破登录口。
发布时间:2022-05-23 21:12 | 阅读:97775 | 评论:0 | 标签:验证码 burp

基于Chromium 的 XSS 检测工具,BurpSuite 靶场实践

 1 介绍XSS 是网络中最常见的漏洞,再配合其它的攻击手段往往能轻易敲开服务器的大门。在各大漏洞平台中,XSS 漏洞也是数量最多的。本文介绍基于 Chromium 源码实现的 XSS 检测工具,该工具采用动态污染追踪(Taint Tracking)技术,可以监测 source 与 sink 之间的数据流动过程,为人工验证提供详实可靠的依据。
发布时间:2022-05-07 13:17 | 阅读:56685 | 评论:0 | 标签:xss 靶场 burp

武装你的BurpSuite

 0x01 前言BurpSuite是广大安全人员使用率最高的一款工具了,通过对数据包的修改,重放往往能发现很多安全问题,而burp的插件能帮助我们进一步优化使用体验,更好的去发现漏洞。下面是经常用到的插件,这里给大家做一个分享。
发布时间:2022-03-28 15:56 | 阅读:71946 | 评论:0 | 标签:burp

抓包神器BurpSuite插件汇总

抓包神器BurpSuite及其插件!https://github.com/topics/burpsuitehttps://github.com/ScriptKid-Beta/Unexpected_informationhttps://github.com/EmYiQing/Burpsuite-UAScanhttps://github.com/lantongxue
发布时间:2022-03-28 15:05 | 阅读:81277 | 评论:0 | 标签:插件 burp

Burp Suite—验证码识别、切换IP

前言Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,其各个组件之间可灵活配合,可定制化程度极高,正可谓居家旅行杀人越货必备之神器。但是当遇到各式各样的验证码,防火墙等场景,神器也无从下手。有幸 Burp Suite 提供了非常强大的开发接口,可根据需求自行强化。快速开发既然要敏捷开发,采用轻量级的脚本 python 来实现拓展最为快速灵活,也懒得去拖 swing 界面做交互,参数对应修改就行。本次验证码识别用于 Intruder 模块,在脚本中实例化 IntruderPayloadGenerator 类以及其 getNextPayload 方法即可,具体流程如下 。
发布时间:2022-02-07 20:28 | 阅读:51763 | 评论:0 | 标签:验证码 burp

Proxifer+BurpSuite 抓取PC客户端HTTP(s)数据包

以下文章来源于Bypass ,作者Bypass Bypass . 致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。 闻道有先后,术业有专攻,如是而已。 来自公众号:Bypass针对PC客户端(C/S架构)的渗透测试,抓包是一个挡在我们前面的问题。如果可以使用BurpSuite抓取客户端的HTTP(S)流量,那么测试过程将更有效率,也更有利于漏洞挖掘。本文分享一个抓取PC客户端HTTP(s)数据包的小技巧。
发布时间:2022-01-12 09:42 | 阅读:131012 | 评论:0 | 标签:HTTP burp

使用burp插件captcha-killer识别图片验证码(跳坑记)

一、0x01插件简介burp2020前使用:https://github.com/c0ny1/captcha-killer/tree/0.1.2burp2020后的版本使用:https://github.com/Ta0ing/captcha-killer-java8captcha-killer要解决的问题是让burp能用上各种验证码识别技术!插件当前针对的图片类型验证码,其他类型当前不支持。captcha-killer本身无法识别验证码,它专注于对各种验证码识别接口的调用。
发布时间:2021-12-29 12:20 | 阅读:171949 | 评论:0 | 标签:apt 插件 验证码 burp

log4j2burpscanner、 Log4j 漏洞构造的蜜罐

1、利用 Log4j 漏洞构造的蜜罐这个蜜罐运行假的 Minecraft 服务器(1.17.1)等待被利用。有效载荷类保存到payloads/目录。用法:git clone https://g
发布时间:2021-12-13 10:09 | 阅读:155627 | 评论:0 | 标签:漏洞 蜜罐 burp log4j

工具|log4j2burpscanner、 Log4j 漏洞构造的蜜罐

1、利用 Log4j 漏洞构造的蜜罐这个蜜罐运行假的 Minecraft 服务器(1.17.1)等待被利用。有效载荷类保存到payloads/目录。用法:git clone https://github.com/Adikso/m
发布时间:2021-12-12 17:37 | 阅读:180026 | 评论:0 | 标签:漏洞 蜜罐 burp log4j

如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC

关于lazyCSRFlazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。
发布时间:2021-12-07 23:04 | 阅读:88277 | 评论:0 | 标签:CSRF burp

404星链计划 | BurpCrypto : 万能网站密码爆破测试工具

#星链计划 20个内容 404星链计划迎来改版更新啦,我们在项目展示、奖励计划等方面有所优化调整,同时新收录了几个优秀的开源安全工具。具体改版推文详情见:@所有人,404星链计划改版&新项目加入今日官宣,围观有惊喜!(戳此推文,文末有抽奖)今天介绍的是新收录的项目BurpCrypto。另外欢迎加入404星链计划社群,请在文末识别运营同学二维码,添加时备注“星链计划”。
发布时间:2021-11-25 20:17 | 阅读:96247 | 评论:0 | 标签:burp

BurpCrypto: 万能网站密码爆破测试工具

作者:whwlsfb项目地址:https://github.com/whwlsfb/BurpCryptoBurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuite插件。编译$ mvn package为了解决什么痛点目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法,甚至有些网站在每次请求前都动态请求加密密钥等措施,对接口渗透工作造成较大障碍。
发布时间:2021-11-25 18:20 | 阅读:118373 | 评论:0 | 标签:burp

BurpSuite v2021.10破解版 免Java环境 高速下载(已集成jdk环境 ,已集成注册机)

BurpSuite介绍Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp intruder用于自动对Web应用程序自定义的攻击。它可以用来自动执行您的测试过程中可能出现的所有类型的任务。例如目录爆破,注入,密码爆破等。
发布时间:2021-11-05 15:13 | 阅读:351264 | 评论:0 | 标签:java 破解 burp

OKHTTP3抓包绕过

0x00同样是之前做的那个项目,除了加壳还用了OKhttp3,导致burp等工具无法抓到该应用的通信请求,抓瞎了一段时间,好在已经解决该问题,不过如果APP做了虚拟机识别的话,就没办法使用这种方式了。0x011.模拟器安装BURP证书将burp证书导入模拟器中,在安全设置处将证书安装 2.下载安装 proxifier http://www.proxifier.com/ 激活码问度娘 3.添加代理服务器为burp监听的地址 4.设置代理规则 我这里使用的是夜神模拟器,夜神的通信进程为 noxvmhandle.exe ,我们直接将这个进程添加到代理规则中就好了。
发布时间:2021-10-11 16:39 | 阅读:95103 | 评论:0 | 标签:Burp OKhttp3 HTTP

BurpSuite2021.8.2版本安装使用

#BurpSuite8.2 1 个内容 #网络安全 2 个内容 #渗透测试 2 个内容 一、安装JDK15,一路下一步,其他JDK版本可能会出问题,压缩包里有提供二、双击运行BurpSuite
发布时间:2021-09-21 03:23 | 阅读:103254 | 评论:0 | 标签:burp

自动化 - Burp 宏

0x01 前言当我们手工或自动测试时,经常会有以下这些问题:目标程序不断终止会话,我们需要一次又一次地恢复会话目标防止请求伪造,某些功能可能会使用必须随每个请求提供的新的Token在测试特定功能时,需要执行一系列需要以相同顺序重复的操作,来完成测试。我们在自动化的时候可以通过编写Python代码。然后使用 Burp 宏不仅可以自动化这个过程,而且可以使测试更加高效!因为它操作起来非常简单。0x02 Burp Macros?Brup 宏(Macros)是一个预先定义好的HTTP请求序列,这个序列中可以包含一个或多个HTTP请求。
发布时间:2021-09-17 21:49 | 阅读:119863 | 评论:0 | 标签:自动化 自动 burp

BurpSuite8.2 -- 查找包含id参数的URL

#渗透测试 ,1 #网络安全 ,1 #BurpSuite ,1 一、通过BurpSuite随便浏览一下目标主机,越多越好二、通过筛选,获取我们想要的相关参数1、在Filter by&nb
发布时间:2021-09-12 11:03 | 阅读:115643 | 评论:0 | 标签:burp

【技术分享】梨子带你刷burpsuite靶场之高级篇 - OAuth2.0认证专题

#BurpSuite ,4 #Web安全 ,14 #OAuth2.0认证漏洞 ,1  高级漏洞篇-OAuth2.0认证漏洞专题什么是OAuth?OAuth是一种常用的授权框架,它使网站和应用程序能够请求对另一个应用程序上的用户帐户进行有限访问。值得注意的是,OAuth允许用户授予此访问权限,而无需将其登录凭据暴露给请求的应用程序。这意味着用户可以选择他们想要共享的数据,而不必将其帐户的完全控制权交给第三方。基本的OAuth过程广泛用于集成第三方功能,这些功能需要访问用户帐户中的某些数据。例如,应用程序可能使用OAuth请求访问电子邮件联系人列表,以便它可以建议人们联系。
发布时间:2021-09-10 19:00 | 阅读:98251 | 评论:0 | 标签:靶场 burp 认证

Burpsuite插件改造计划

robots 作者:天启@涂鸦智能安全实验室0x01.前言之前逛GitHub的时候看到一个老同事写的一个插件,于是就多喵了两眼,然后发现其实这个插件还是很实用的!
发布时间:2021-09-10 11:34 | 阅读:55742 | 评论:0 | 标签:插件 burp

梨子带你刷burpsuite靶场之高级漏洞篇 - OAuth2.0认证漏洞专题

robots 本系列介绍PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。
发布时间:2021-09-09 11:38 | 阅读:163283 | 评论:0 | 标签:漏洞 靶场 burp 认证

梨子带你刷burpsuite靶场之高级漏洞篇 - HTTP Host头攻击专题

robots 本系列介绍PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。
发布时间:2021-09-06 11:39 | 阅读:189028 | 评论:0 | 标签:漏洞 攻击 靶场 HTTP burp

网络安全入门之BurpSuite是什么?定义及模块介绍!

  渗透测试有很多工具,其中包括BurpSuite。它是Web安全者必不可少的一件神器,有很多实用性的技巧,本文就为大家详细介绍一下。   什么是BurpSuite?   Burp Suite是用于攻击web应用程序的集成平台,包含了许多工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。   BurpSuite模块介绍   Proxy:是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截、查看、修改在两个方向上的原始数据流。
发布时间:2021-09-03 16:12 | 阅读:129206 | 评论:0 | 标签:网络安全 安全 网络 burp

梨子带你刷burpsuite靶场系列之高级漏洞篇 - Web缓存投毒专题

robots 本系列介绍PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。
发布时间:2021-09-03 11:38 | 阅读:190647 | 评论:0 | 标签:漏洞 靶场 burp

梨子带你刷burpsuite靶场系列之高级漏洞篇 - 服务器端模板注入(SSTI)专题

robots 本系列介绍PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。
发布时间:2021-08-28 11:38 | 阅读:138585 | 评论:0 | 标签:注入 漏洞 靶场 burp

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁