一个基于burpsuite的资产分析工具

 

项目简介

平时积累的一些攻防经验想做成自动化去提升在公司项目以及外部SRC效果，故闲暇时间开发了这款基于burpsuite的工具。

过去在内部使用效果也还可以，现在工作原因不再参与红队类的业务了，将其开源供大家学习分享，过程中大家有发现任何问题和需求，欢迎提交，我会在空余时间进行优化。

主要集合了以下几个类别的功能：

1. 资产收集管理的概念，用户可设置域名，插件会随着被动流量进行分析，提取属于目标的域名资产，并会对资产递归访问，快速发现更多业务

2. 被动检测能力：基于代理过去的流量进行分析，尝试提取可疑脆弱点（插件不会发包）

3. 主动检测能力：基于代理过去的流量，然后进行二次加工（插件会额外发包）

4. 提供全局配置管理的界面，可选择对流量以及上述（2）（3）的功能进行配置

5. 当然还提供一些蛮多细小功能，就供大家琢磨了

 

功能演示

核心只演示资产收集管理的功能，其他功能大家可以慢慢体验（GIF动图太大，无法直接上传）。

 

注意事项

新版本的bp需要在首页关闭忽略重复访问检测的功能，否则会影响实际效果

 

下载地址

https://github.com/z2p/sweetPotato

原文始发于微信公众号（Hack分享吧）：一个基于burpsuite的资产分析工具