声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，淮橘安全及文章作者不为此承担任何责任。

现在只对常读和星标的公众号才展示大图推送，建议大家能把“设为星标”，否则可能就看不到了啦！公众号会经常分享一些0day，1day，工具供大家学习

0x01 简介

有些插件需要自己做配置，不然不会好用，配置文件我会一同打包，下载链接在下文获取

Oscan

被动扫目录扫备份文件可自己添加目录，采用的是递归形式，不会错过每一个接口，建议放一些敏感未授权的目录就行，插件内置的别去删，可以扫备份文件，曾经某师傅用该插件扫到某山云src的备份文件泄露，成功拿下高危

可自己进行配置也可在host处添加白名单和黑名单（白名单优先扫，黑名单不扫）

xiaxiao

一款可以生成信息用来注册测试，也可生成弱口令字典，用该插件生成的弱口令助我得到不少弱口令漏洞，也可生成路径字典等

HaE可单独使用也可配合前面的的工具Onescan使用,可被动标记敏感信息，不错过任何一个泄露漏洞，规则需要自己配，这里我会上传一份我已经配置好的，自己导入就行

导入

BurpJSLinkFinder

被动爬js插件，本身你感觉不出作用，但是他却是及其好用的药引，所有的被动扫描都能喝汤

BurpCrypto

burp必备插件，像现在很多登录页面都做了加密，有这个工具哪怕加密也可以爆破弱口令了

还有很多好用的插件我也一并打包好了，各位师傅下载酌情导入使用即可

0x02 项目下载链接

百度网盘
链接：https://pan.baidu.com/s/1q7K60XOjo4UzKgA4-JCUng?pwd=hjaq 提取码：hjaq

原文始发于微信公众号（淮橘安全）：受某师傅委托，分享一些好用的Burp插件，方便各位师傅更好挖洞，渗透