一款神级渗透测试工具——Python for pypurp的Burp插件!
在我们写完程序后,常常需要进行渗透测试,这是将程序bug的揪出来的重要步骤,在进行这些测试时,我们需要用到很多的测试工具,就例如Portswiggers的 Burp Suite 等。
Portswiggers的 Burp Suite 是我们最喜欢的渗透测试工具之一(特别是,但不仅仅是网络应用程序测试)。Burp允许通过编写自己的插件来扩展其功能。但是因为Burp是用Java编写的,所以它只支持Java类作为插件。另外,Burp只允许同时使用一个插件,必须在启动时加载。
现在我们编写了一个Burp-Python代理(称为pyBurp),它为插件系统添加了一些功能:
- 用Python编写插件
- 每次加载和卸载插件
- 加载多个插件
唯一的限制是必须使用Jython来编译和解释python脚本。实际上我们已经使用Jython 2.5.2对其进行了测试(其他版本可能有效,但这是我们测试的版本)。
要设置和使用pyBurp,只需按照以下步骤操作:
安装:
- 下载所需的pyBurp包(src或二进制文件,你可以在这篇文章的末尾找到下载链接)
- 下载Jython并解压缩/安装(建议使用2.5.2版)
- 如果你想从源代码构建,你将需要一个JDK(用于编译)和GNU make安装(仅对于Makefile,你需要在没有它的情况下手动编译它)
- 更新您的Burp副本和Jython 的Makefile中的路径
- 运行make
- 更新Burp副本和Jython 的burp.sh中的路径(Linux / Unix启动脚本)
开始使用插件(使用示例插件显示):
- 通过burp.sh启动Burp
- Burp应该告诉你它在哪个端口等待加载和卸载命令(例如55666)。
- 加载Pythonplugin:
[code]$ nc localhost 55666#或在启动时报告的其他一些端口 pwd #显示当前正在加载的workingdir /家/富 cd / home / foo / sources / pyBurp #更改当前workingdir 添加PoCPlugin #加载PoC-Plugin 添加PoCPlugin DONE list #show loaded插件 回调列表: 1:PocPlugin 退出 #reit communication 再见 $
- 删除Python插件:
[code]$ nc localhost 55666#或启动列表中报告的其他一些端口#show loaded plugins 回调列表: 1:PoCPlugin rm 1 #删除插件没有。1 删除PoCPlugin DONE 退出 #reit communication 再见 $
可能的命令:
命令句法描述加添加<插件名称>加载插件名单名单列出所有加载的插件R Mrm <nr of loaded plugin>卸载插件光盘cd <绝对路径>改变当前的负载路径PWDPWD显示当前的加载路径
下载:
- 二进制:burp_python.jar
- SHA1:500ed30f6473556093f1f388025932c41c262e72
- MD5:66526190fe6b4d0b149a2918c14336db
- 源代码:pyBurp.tar.gz
- SHA1:e3e4deb5f28a49c3e0a9518f7a8d2514c0a30225
- MD5:48f62186fcaf927b28f6e1c44e7fad74
最后我们希望你们中的一些人发现pyBurp很有用。不知道大家对本文内容还有其他见解否?有交流才能有进步,欢迎各位前来交流与讨论。如果有小伙伴想好好学习Python,可以加群959997225!小编这里有一份非常适合大家学习Python的资料给与免费领取喔!文末奉上Burp Suite 地址。
Burp Suite 地址: https://portswigger.net/burp/
Jython地址:http://www.jython.org/
burp_python.jar下载地址:http://www.ernw.de/download/burp_python.jar
pyBurp.tar.gz下载地址:http://www.ernw.de/download/pyBurp.tar.gz
原版英文文章地址:https://insinuator.net/2011/12/use-python-for-burp-plugins-with-pyburp/
本文来自网络,如有侵权,请联系小编删除!
阅读更多- 专为渗透测试人员设计的 Python 工具大合集
- 实用工具:VS上python开发插件(python tools for visual studio)
- 专为渗透测试人员设计的 Python 工具大合集
- 渗透测试常用Python工具全集
- LANs.py:一款可以实现代码注入,无线渗透和WiFi用户监控的强大工具
- Python渗透测试工具合集
- Firefox成为渗透测试工具的18个插件
- 攻击性Web测试框架(OWTF)是OWASP + PTES的重点,旨在联合优秀的工具使渗透测试更加高效,主要由Python编写
- python pytest测试框架介绍四----pytest-html插件html带错误截图及失败重测机制
- 专为渗透测试人员设计的 Python 工具大合集
- 专为渗透测试人员设计的Python工具大合集
- 都是python写的渗透测试工具
- Python渗透测试工具合集
- [数据库测试]强烈推荐一个python ODBC数据源插件,可支持Oracle,Db2,Mysql,Sql-server以及各种数据库版本,附例子和测试程序
- DNSteal - 一款可通过DNS传输文件的渗透工具
- python实例编写(7)---测试报告与测试套件(多个py文件,1个py文件内多个用例)
- One-Lin3r:懒人的福音,渗透测试单行化工具
- Yslow---一款很实用的web性能测试插件
- 使用Python编写一个渗透测试探测器 推荐
- 发布一款原创JavaScript模板引擎插件(将html模板快速渲染成数据对应的HTML片段的工具)