家居网站建设公司,西安官网seo推广,微商城下载安装,数据分析培训课程BurpSuite插件安装 插件#xff1a;Fiora Fiora是LoL中的无双剑姬的名字#xff0c;她善于发现对手防守弱点#xff0c;实现精准打击。该项目为PoC框架nuclei提供图形界面#xff0c;实现快速搜索、一键运行等功能#xff0c;提升nuclei的使用体验。 该程序即可作为burp插… BurpSuite插件安装 插件Fiora Fiora是LoL中的无双剑姬的名字她善于发现对手防守弱点实现精准打击。该项目为PoC框架nuclei提供图形界面实现快速搜索、一键运行等功能提升nuclei的使用体验。 该程序即可作为burp插件运行也可以作为独立程序运行。 命令行下通过java启动程序的命令java -jar Fiora-202100220-jar-with-dependencies.jar 下载https://github.com/bit4woo/Fiora/releases/ 安装打开Burp——Extender——Extensions——Add——Select file——选择Fiora的jar包——打开 点击Next开始安装安装完成之后如果Errors处无报错信息说明安装成功 Fiora插件使用 vulfocus靶场启动一个Log4j2远程命令执行CVE-2021-44228 漏洞环境 使用burp抓包右键——将url发送到Fiora插件。 发送url之后来到Fiora模块可以看到右下角已经存在url信息 配置插件Proxy如果不配置默认端口是为空的运行就会报错 开始检测漏洞 检测之前有一个重要的点那就是必须关闭Burp拦截* 测试单个漏洞 我们开启的环境是Log4j2远程命令执行CVE-2021-44228。所以直接搜索关键字【log4j】。 选择CVE-2021-44228漏洞——右键选择Run This PoC 成功检测出漏洞 测试标签范围内漏洞 右键选择Run PoCs With Tags 弹出标签输入框就可以输入要测试漏洞的一些关键字点击确定开始检测漏洞 插件Fastjson 一个简单的Fastjson反序列化检测burp插件 下载https://github.com/Maskhe/FastjsonScan/releases 安装同上 Fastjson插件使用 使用vulfocus靶场启动fastjson 代码执行 CNVD-2019-22238漏洞环境 burp抓取数据包右键发送给Fastjson插件 注意该插件只检测传输json数据格式的数据包所以数据包中如果没有json数据需要自行添加 发送无json数据的数据包会提示not supported 不会开始检测 抓包修改为以POST方式请求添加json格式的数据右键发送给插件 插件成功识别开始检测漏洞 如果扫描的目标存在漏洞在窗口下面的Request窗口会展示使用的payload,如果没有漏洞则会展示原始的请求与响应。 等待一段时间后成功检测出漏洞 插件Shiro 一款基于BurpSuite的被动式shiro框架漏洞检测插件 下载https://github.com/pmiaowu/BurpShiroPassiveScan/releases 安装同上 Shiro插件使用 使用vulfocus靶场启动shiro-721 代码执行 漏洞环境 开启代理访问目标burp会抓取到目标的请求数据包 Shiro插件会自动检测产生的数据包检测到目标使用了Shiro框架就会自动获取key
