参数提取插件god_param
2023-4-4 23:8:7 Author: goddemon的小屋(查看原文) 阅读量:44 收藏

二开原因:

日常做渗透测试时,参数提取至关重要,一个好的参数表。

可以拿来结合批量fuzz更多想不到的功能点,且更加好的联动god_link插件。(god_link暂时不放出来

但是找了一圈,找到的参数提取的,就只找到有burp-sensitive-param-extractor的参数提取的还可以。

但是他限定了只抓取proxy抓到的参数,且对该参数文件也没进行去重功能,且也不会删除匹配到的返回包参数文件。

为了满足自己的需要就直接二开了,直接改的功能,大致的UI就没咋改。

增加了的功能:

①修改toolFlag,使其能够自动获取到所有的burp拓展的参数。 

②增加IExtensionStateListener,实现每次重启burp时,自动删除参数的作用。 

③增加返回包参数匹配,对返回包的内容进行参数匹配,调用了两次匹配,匹配出参数值。 

④对参数写入和读取文件时,进行去重判断,防止参数重复。 

⑤更改部分ui界面。 

⑥增加JTextArea和read功能,实现直接读取参数到列表中,便于直接在burp中进行测试。

⑦删除原作者的正则限定这些规则。


使用方法:

访问一个网站后,进行输入参数这些后,进行填入参数或者访问后。


点击read按钮即可将相关的参数文件直接读取到列表

安装教程:

安装jython后 jython-standalone-2.7.2.jar



然后在加载即可



注意:

安装路径不能存在中文

后续可能优化:

对参数列表指定网站记录 

如果存在什么bug,欢迎反馈

插件地址:

https://github.com/goddemondemongod/god_param

参考插件地址:

参考插件地址:https://github.com/theLSA/burp-sensitive-param-extractor


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2NTc1ODY0Mw==&mid=2247485514&idx=1&sn=c21c87359adf8553948a20de91a16d07&chksm=ea993a96ddeeb380ed8a2dffb80c65f3d401923c1e606003000737725cbbaf33e7068495fbaa#rd
如有侵权请联系:admin#unsafe.sh