GRADUATION
点击蓝字 关注我们
免责申明:
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
BurpSuite插件推荐:
A、ShiroScan作用:主要用来检测Shiro漏洞地址:https://github.com/Daybr4ak/ShiroScan安装配置:BP——扩展——已安装——添加——XX.jar——勾选上该插件即可测试:打开burpsuite以及浏览器代理,访问想要测试的网站,找到登录的接口,而后正常拦包登录即可,找到shiroCipherKey
B、Log4j2Scan作用:该工具为被动扫描Log4j2漏洞CVE-2021-44228的BurpSuite插件,具有多DNSLog(后端)平台支持,支持异步并发检测、内网检测、延迟检测等功能地址:https://github.com/whwlsfb/Log4j2Scan/releases安装配置:BP——扩展——已安装——添加——XX.jar——勾选上该插件即可
部分配置:
C、Autorize作用:主要检测逻辑漏洞,越权安装:BP——扩展——BApp商店——Autorize——安装即可颜色状态:绕过!- 红色强制执行!- 绿色强制执行???(请配置执法检测器)-黄色备注:记得替换cookie信息
前面需要替换cookie等信息
结果:
D、403 Bypasser作用:403页面的绕过安装:安装:BP——扩展——BApp商店——403 Bypasser——安装即可直接使用即可
E、HaE作用:检测信息泄露地址:https://github.com/gh0stkey/HaE/releases?page=1安装配置:BP——扩展——已安装——添加——XX.jar——勾选上该插件即可
(配置规则)
编辑|青春计协
审核|青春计协
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...