0x00 前言
在攻防演习场景下,通常需要对收集到的资产进行指纹识别,以判断目标网站使用的是什么框架或者版本等信息,该BurpSuite插件实现被动指纹识别+网站提取链接+OA爆破,可帮助我们快速识别资产。
0x01 主要功能
- 浏览器被动指纹识别,已集成Ehole指纹识别库,区分重点指纹和常见指纹,补充部分实战热门漏洞的指纹
- 提取网站的URL链接和解析JS文件中的URL链接后进行指纹识别
- 通过图形化界面进行指纹库修改,可导入、导出、重置
- 使用sqlite存储扫描结果,防止因BurpSuite意外退出而导致数据丢失
OA类支持检测指纹和弱口令爆破组件,可以与本地Packer Fuzzer JS扫描器配合发现隐秘漏洞。
0x02 使用说明
1、下载右侧Releases下的BurpFingerPrint.jar包。
2、如原先有使用旧版本的,需要删除掉原先同BurpFingerPrint.jar同目录下的BurpFingerPrint.db文件后再加载。
3、通过Burp的Extensions模块加载插件,具体操作如下图。
4、低版本burp可能出现加载不成功的情况,建议使用v2023及以上版本,加载插件出现如下Output内容,代表加载成功。
5、插件运行页面如下,可自动对代理的数据流量进行识别,目前内置973条规则,能够有效识别出常见的系统指纹。
下载地址
https://github.com/shuanx/BurpFingerPrint
原文始发于微信公众号(篝火信安):【工具分享】一款用于指纹识别的Burp插件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论