武装你的Burpsuite

科技   2024-11-17 10:16   重庆  

基于burpsuite的资产分析工具

简介

平时积累的一些攻防经验想做成自动化去提升在公司项目以及外部SRC效果,故闲暇时间开发了这款基于burpsuite的工具。

过去在内部使用效果也还可以,现在工作原因不再参与红队类的业务了,将其开源供大家学习分享,过程中大家有发现任何问题和需求,欢迎提交,我会在空余时间进行优化。

主要集合了以下几个类别的功能:

  1. 1. 资产收集管理的概念,用户可设置域名,插件会随着被动流量进行分析,提取属于目标的域名资产,并会对资产递归访问,快速发现更多业务

  2. 2. 被动检测能力:基于代理过去的流量进行分析,尝试提取可疑脆弱点(插件不会发包)

  3. 3. 主动检测能力:基于代理过去的流量,然后进行二次加工(插件会额外发包)

  4. 4. 提供全局配置管理的界面,可选择对流量以及上述(2)(3)的功能进行配置

  5. 5. 当然还提供一些蛮多细小功能,就供大家琢磨了

安装方法

  1. 1. 使用idea将源代码进行编译安装 或者 直接用release中提供编译好的文件

  2. 2. 编译完成后,在jar同目录下将resources目录放在同级,jar在burpsuite启动时,会去加载对应的配置文件进行使用

注意事项

新版本的bp需要在首页关闭忽略重复访问检测的功能,否则会影响实际效果

参考

部分公共代码(如:iconhash计算)参考了项目 https://github.com/bit4woo/domain_hunter_pro

项目地址

https://github.com/z2p/sweetPotato

免责声明

该工具仅用于安全自查检测
由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

乌雲安全
乌雲安全,致力于网络安全攻防、内网渗透、代码审计、安卓逆向、CTF比赛、应急响应、安全运维、安全架构、linux技巧等技术干货分享。
 最新文章