Burp-Extension – Burp-Erweiterung zum Finden potenzieller Endpunkte und Parameter und zum Generieren einer benutzerdefinierten Zielwortliste




Dies ist eine Weiterentwicklung der ursprünglichen getAllParams-Erweiterung für Burp. Es findet nicht nur weitere potenzielle Parameter, die Sie untersuchen können, sondern auch potenzielle Links zum Ausprobieren dieser Parameter und erstellt ein spezifisches Ziel Wortliste zum Fuzzing verwenden. Die vollständige Hilfedokumentation finden Sie hier Hier oder über das Hilfesymbol auf der Registerkarte „GAP“.

TL;DR

Installation

  1. Besuchen Offizielle Jython-Websiteund laden Sie die neueste eigenständige JAR-Datei herunter, z jython-standalone-2.7.3.jar.
  2. Öffnen Sie Burp, gehen Sie zu Erweiterungen -> Erweiterungseinstellungen -> Python-Umgebungstellen Sie die ein Speicherort der eigenständigen Jython-JAR-Datei Und Ordner zum Laden von Modulen zum Verzeichnis wo die Jython-JAR-Datei gespeichert wurde.
  3. Gehen Sie in einer Befehlszeile in das Verzeichnis, in dem sich die JAR-Datei befindet, und führen Sie den Befehl aus java -jar jython-standalone-2.7.3.jar -m ensurepip.
  4. Laden Sie die herunter GAP.py Und requirements.txt aus diesem Projekt und legen Sie es im selben Verzeichnis ab.
  5. Installieren Sie Jython-Module durch Ausführen java -jar jython-standalone-2.7.3.jar -m pip install -r requirements.txt.
  6. Gehe zum Erweiterungen -> Eingerichtet und klicken Hinzufügen unter Burp-Erweiterungen.
  7. Wählen Erweiterungstyp von Python und wählen Sie die aus GAP.py Datei.

Benutzen

  1. Wählen Sie einfach ein Ziel in Ihrem aus Rülpsen Bereich (oder mehrere Ziele) oder auch nur einen Unterordner oder Endpunkt und wählen Sie die Erweiterung LÜCKE:

Oder Sie können in einem anderen Kontext mit der rechten Maustaste auf eine Anfrage oder Antwort klicken und auswählen LÜCKE von dem Erweiterungen Speisekarte.

  1. Dann geh zum LÜCKE Klicken Sie auf die Registerkarte, um die Ergebnisse anzuzeigen:

Wichtige Notizen

Wenn Sie einen der Modi nicht benötigen, deaktivieren Sie ihn, da Sie dann schneller Ergebnisse erhalten.

Wenn Sie GAP für ein oder mehrere Ziele in der Sitemap-Ansicht ausführen, dürfen diese nicht erweitert sein, wenn Sie GAP ausführen. Leider kann dies dazu führen, dass es viel langsamer wird. Es ist effizienter, wenn Sie ein oder zwei Ziele gleichzeitig in der Sitemap-Ansicht ausführen, da große Projekte viele Ressourcen verbrauchen können.

Wenn Sie GAP für eine oder mehrere spezifischere Anfragen ausführen möchten, wählen Sie diese nicht in der Sitemap-Baumansicht aus. Wenn möglich, geht es viel schneller, wenn Sie es über die Ansicht „Sitemap-Inhalte“ oder über den Proxy-Verlauf ausführen.

Es ist schwierig, GAP so zu gestalten, dass alle Steuerelemente für alle Bildschirmauflösungen und Schriftgrößen angezeigt werden. Ich habe versucht, mit den gängigsten Setups umzugehen, aber wenn Sie feststellen, dass Sie nicht alle Steuerelemente sehen können, können Sie die Taste gedrückt halten Ctrl Klicken Sie auf die Schaltfläche und klicken Sie auf das GAP-Logo-Kopfzeilenbild, um es zu entfernen und mehr Platz zu schaffen.

Der Wortmodus verwendet die beautifulsoup4 Bibliothek und das kann ziemlich langsam sein, also haben Sie Geduld!

Ausführliche Anweisungen

Nachfolgend finden Sie einen detaillierten Einblick in die GAP Burp-Erweiterung, von der erfolgreichen Installation bis hin zur Erläuterung aller Funktionen.

HINWEIS: Dieses Video stammt vom 16. Juli 2023 und befasst sich mit Version 3.X. Daher sind alle danach hinzugefügten Funktionen möglicherweise nicht verfügbar.

MACHEN

  • Erhalten Sie potenzielle Parameter aus der Anfrage, die Burp nicht identifiziert, z. B. XML, graphql usw.
  • Fügen Sie eine Option hinzu, um das nicht hinzuzufügen Tentaive Probleme, z. B. Parameter, die in der Antwort gefunden wurden (jedoch nicht als Abfrageparameter in gefundenen Links).
  • Verbessern Leistung des Links, der reguläre Ausdrücke findet.
  • Fügen Sie die Anforderungs-/Antwortmarkierungen in die erhöhten Sus-Parameter ein. Probleme, wenn ich eine Möglichkeit finde, die Leistung nicht wirklich zu verschlechtern!
  • Behandeln Sie Displays mit anderen Größen und Schriftgrößen besser, um sicherzustellen, dass alle Steuerelemente sichtbar sind.
  • Wenn mehrere Sitemap-Baumziele ausgewählt sind, können Sie die Dateien effizienter schreiben. Dies kann in manchen Fällen ewig dauern.
  • Verwenden Sie eine Alternative zu beautifulsoup4 Dadurch lassen sich Antworten für Wörter schneller analysieren.

Viel Glück und gute Jagd! Wenn Sie das Tool (oder andere) wirklich lieben oder es Ihnen dabei geholfen hat, ein tolles Kopfgeld zu finden, sollten Sie es in Betracht ziehen Ich kaufe mir einen Kaffee! ☕ (Ich könnte das Koffein gebrauchen!)

🤘 /XNL-h4ck3r



Source link

Loading...