【神器合集】漏洞挖掘效率翻倍!武装你的burpSuite

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzkxNzY5MTg1Ng==&mid=2247490018&idx=1&sn=ec2976fde305b530d4b85fb570f334aa

【神器合集】漏洞挖掘效率翻倍!武装你的burpSuite

菜狗 富贵安全 2025-07-15 04:50

  • FastjsonScan4Burp
     — 一款基于burp被动扫描的fastjson漏洞探测插件,可针对数据包中的存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探测、深入利用fastjson漏洞,目前已实现fastjson探测、版本探测、依赖探测以及出网及不出网利用和简易的bypass waf功能
    。 
    源出

  • CaptchaDos
     — Burpsuite验证码DOS攻击插件 源出

  • BucketVulTools
     — Burpsuite存储桶配置不当漏洞检测插件 源出

  • Auto-SSRF
     — 基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件 源出

  • AutoRepeater
     — 自动化挖掘SSRF,Redirect,Sqli漏洞,自定义匹配参数 源处

  • DetSql
     — 快速探测可能存在SQL注入的请求并标记,提高测试效率 源处

  • AutorizePro
     — 一款越权检测 Burp 插件,通过增加AI分析模块 && 进一步优化检测逻辑,大幅降低误报率,提升越权漏洞检出效率 源处

  • nowafpls
     — 插入垃圾字符来绕过waf 源处

  • gatherBurp
     — fastjson、权限绕过、未授权、sql注入、多层级路由、log4j扫描以及生成指定kb大小的随机字符串+子域名+代理池 源处

  • BurpFingerPrint
     — 集成Ehole指纹库并进行常见OA弱口令爆破插件 源处

  • BurpAPIFinder
     — API、敏感信息综合提取插件 源处

  • Galaxy
     — HTTP请求&响应全加密加签 场景下,高效的对明文报文查看、编辑和扫描 源处

  • BurpAppletPentester
     — 微信小程序Wx_SessionKey加解密插件 源处

  • Burpy
     — 基于python的前端加解密解决方案 源处

  • interactsh-collaborator
     — Interact.sh反链平台的burp插件 源处interactsh-collaborator — Interact.sh 反链平台的 burp 插件 源处

  • burpsuite_hack
     — 被动代理扫描插件,可检测SQL注入、SSRF漏洞 源处

  • BypassPro
     — 对权限绕过自动化bypass的burpsuite插件 源处 | BypassPro修改升级版本

  • burp-vps-proxy
     — 在大多数的云服务上自动创建和删除一个上游SOCKS5代理并自动应用的插件 源处

  • CustomCrypto
     — Burp自定义加解密插件 源处

  • npscrack
     — npscrack:蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、一键利用的BurpSuite插件 源处

  • OneScan
     — 一个递归目录扫描的BurpSuite插件 源处

  • OutLook
     — 一款OutLook信息收集工具,在已登录Outlook账号后,可以使用该 插件自动爬取所有联系人的信息 源处

  • passive-scan-client-plus
     — passive-scan-client 维护分支 源处passive-scan-client-plus — passive-scan-client 维护分支 源处

  • BpScan
     — 一款用于辅助渗透测试工程师日常渗透测试的Burp被动漏扫插件(SpringSpiderScan、Log4jScan和FastJsonScan) 源处

  • BurpCRLFScan
     — 使用java编写的CRLF-Injection-burp被动扫描插件 源处

  • JsonDetect
     — 支持被动扫描json,根据不同json库的特性识别出相应的json依赖库的burp插件 源处

  • autoDecoder
     — 根据自定义来达到对数据包的处理(适用于加解密、爆破等),类似mitmproxy的burp插件 源处

  • burp-text4shell
     — 用于CVE-2022-42889:Text4Shell 漏洞扫描burp插件源处

  • sweetPotato
     — 一款用于在burpsuite 中自动递归发现关注的域名资产和额外的流量检测插件 源处

  • xia_Liao
     — 一款用于在burpsuite 快速生成 姓名、手机号、身份证、统一社会信用代码、组织机构代码、银行卡,以及各类web语言的hello world输出插件 源处

  • base64encode
     — 一款支持burpsuite POST数据包base64编码插件 源处

  • HackTools
     — 一款支持编码、加解密、杀软查询和文本处理的 burp插件 源处

  • RouteVulScan
     — 递归式被动检测脆弱路径的burp插件源处

  • fastjson-exp
     — fastjson利用,burp插件。 支持出网 jndi利用检测,不出网 tomcat、spring回显,哥斯拉内存马,回显利用链为dhcp、ibatis、c3p0,内存马支持tomcat89源处

  • burp-awesome-tls
     — burp-awesome-tls:修复Burp Suite可怕的TLS堆栈并伪造任何浏览器指纹 源处

  • JustC2file
     — Malleable C2 Profiles生成器;可以通过Burp代理选中请求,生成Cobalt Strike的profile文件(CSprofile) 源处

  • SpringScan
     — Spring Core RCE 系列检测源处

  • captcha-killer-modified
     — captcha-killer的修改版,主要用于验证码爆破,适配新版Burpsuite,支持 dddocr 调用 源处 

后台回复
BurpSuite获取下载链接