0x01 工具介绍
在漏洞探测中疲于切换工具?TsojanScan作为BurpSuite全能插件,集Fastjson、SpringBoot、SQL注入等30+漏洞检测于一体,以最少请求实现精准打击!支持2025新版BurpSuite,新增Nacos/XyzDnsLog等模块,优化逻辑提升稳定性。无论你是渗透新手还是老手,这款开源神器将彻底改变你的工作流。文末附实战技巧和项目地址,点击关注获取进阶指南!
下载地址 :
https://github.com/Tsojan/TsojanScan
0x02 功能简介
面板
自定义黑名单,插件不扫描黑名单的url列表,进行Reg匹配优先级第一
主动探测
fastjson >=1.2.80探测
本地环境
预查询DNSlog接口
扫描
判断准确版本
1.2.80版本探测如果收到了两个dns请求,则证明使用了1.2.83版本,如果收到了一个 dns 请求,则证明使用了1.2.80版本。
判断准确版本
1.2.80版本探测如果收到了两个dns请求,则证明使用了1.2.83版本,如果收到了一个 dns 请求,则证明使用了1.2.80版本。
DNSLog查询漏报
0x03更新说明
新增XyzDnsLog平台,删除不可用的DnsLog,由于国内政策问题,建议使用Ceye dnslog平台;修复适配Burp Suite Pro 2024/2025年度版本报错问题;增加sql语法错误的页面回显扫描模块,只显示sql错误显示(参数后面增加单引号、双引号、反斜线,去查看有没有SQL错误语句)增加jpath主动模块化扫描,集合SpringBoot Env、Druid、Swagger 相关无害化POC;更新dnslog平台,删除不可用的dnslog,默认设置Ceye dnslog平台;修复新版本BurpSuite版本报错问题 #23 ;修复删除测试垃圾代码,优化插件稳定性
0x04 使用介绍
📦用法:加载插件
0x05 https://github.com/Tsojan/TsojanScan
免责声明
获取方法
最后必看-免责声明
原文始发于微信公众号(渗透安全HackTwo):告别零散工具!一款BurpSuite全能漏洞探测插件v1.4.6更新|插件分享
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论