BurpSuite提供了一个官方的BApp Store的,可以在其中浏览、下载和安装各种插件。步骤如下:
打开BurpSuite软件,进入“Extender”选项卡,点击“BApp Store”按钮。
在BApp Store中找到需要的插件,点击“Install”按钮进行安装。
安装完成后,在“Extender”选项卡中的“Extensions”子选项卡下可以看到已安装的插件。
也可以手动安装BurpSuite插件的。步骤如下:
在github搜索需要的插件,并下载对应的JAR文件。
打开Burp Suite软件,进入“Extender”选项卡,点击“Add”按钮。
在弹出的窗口中选择下载的JAR文件,并点击“Next”按钮。
根据插件的说明,配置插件所需的设置。
完成配置后,在“Extender”选项卡中的“Extensions”子选项卡下可以看到已安装的插件。
BurpSuite还提供了命令行安装插件的方式。步骤如下:
在github搜索需要的插件,并下载对应的JAR文件。打开命令行终端,使用以下命令进行安装:
java -jar <path-to-burp.jar> --install-plugin <path-to-plugin.jar>
其中,<path-to-burp.jar>是Burp Suite软件的路径,<path-to-plugin.jar>是插件的路径。
根据插件的说明,配置插件所需的设置。
完成配置后,在“Extender”选项卡中的“Extensions”子选项卡下可以看到已安装的插件。
以上三种方法都是安装BurpSuite插件的可行方式。可以根据自己的需求和使用习惯选择合适的安装方式。
1.BurpShiroPassiveScan:一款基于BurpSuite的被动式shiro检测插件,该插件会对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测。
https://github.com/pmiaowu/BurpShiroPassiveScan
2.Fastjson-Patrol:一款python编写的探测fastjson反序列化漏洞的BurpSuite插件,通过ceye探测fastjson 1.2.24、1.2.47和1.2.68版本的反序列化漏洞。
https://github.com/ce-automne/FastjsonPatrol
3.TPLogScan:ThinkPHP3和5日志扫描工具,提供命令行版和BurpSuite插件版,尽可能全的发掘网站日志信息。
https://github.com/r3change/TPLogScan
4.nuclei-burp-plugin:Nuclei 模板生成器 Burp 插件。
https://github.com/projectdiscovery/nuclei-burp-plugin
5.npscrack burp插件:Burp插件,蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc等一键利用。
https://github.com/weishen250/npscrack
6.OutLook:一款burp插件,用于Outlook用户信息收集,在已登录Outlook账号后,可以使用该插件自动爬取所有联系人的信息。
https://github.com/KrystianLi/OutLook
7.JsonDetect:支持被动扫描json,根据不同json库的特性识别出相应的json依赖库的burp插件。
https://github.com/a1phaboy/JsonDetect
8.autoDecoder:根据自定义来达到对数据包的处理(适用于加解密、爆破等),类似mitmproxy的burp插件。
https://github.com/f0ng/autoDecoder
9.base64encode:一款支持burpsuite POST数据包base64编码插件。
https://github.com/handbye/base64encode
10.burpFakeIP:服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件。
https://github.com/TheKingOfDuck/burpFakeIP