正文

最新BurpSuite2024.11.2专业(稳定版)中英文版下载Windows/Linux/Mac仅支持Java21以上

admin
admin V管理员 /0 评论 /62 阅读
1224
此篇文章发布距今已超过18天,您需要注意文章的内容或图片是否可用!

前言

01

更新介绍

此版本为稳定版引入了站点地图过滤器 Bambdas、匹配和替换 Bambdas、用于 API 扫描的动态身份验证令牌,以及用于入侵者攻击的增强负载管理。我们还进行了多项生活质量改进、性能改进和一些错误修复。使用 Bambdas 过滤站点地图我们正在将 Bambdas 引入 Burp 的更多领域。这些基于 Java 的代码片段使您能够直接从 UI 自定义 Burp此版本将 Bambdas 引入站点地图过滤器。这使您能够自定义站点地图以准确捕获您需要的内容,从而帮助您通过过滤掉不必要的流量来集中分析。要了解有关 BurpBambdas 的更多信息,请参阅 Bambdas使用 Bambdas 进行高级匹配和替换规则我们通过添加对 MontoyaAPI 功能子集的访问,扩展了 matchreplace Bambdas 的功能。这使您能够为高级使用案例创建更复杂的 Bambda请谨慎使用 MontoyaAPI 功能。虽然我们限制了对已知危险功能的访问,但某些方法仍可能影响 Burp 的性能或导致内存泄漏。用于仅 API 扫描的动态身份验证令牌我们已在仅 API 扫描中引入了对动态身份验证令牌的支持。Burp 现在可以在扫描期间自动处理令牌续订,确保不间断地访问受保护的终端节点,而无需您干预。此功能可用于不记名令牌和我们新的自定义方法,它使您可以灵活地指定令牌在请求中的放置位置。这两种方法都支持固定令牌和动态令牌。增强的 Intruder 攻击负载管理我们进行了大量更改,以改进配置 Intruder 攻击时的负载标记处理。使用 § 字符作为有效负载标记现在纯粹是视觉的。这意味着您可以对包含 § 字符的请求运行 Intruder 攻击 - 它不会被解释为定义有效负载位置。当您配置 Pitchfork 或集群炸弹攻击时,Payloads (有效载荷) 侧面板中的 Payload position (有效载荷位置) 下拉列表现在显示有效载荷位置的封闭文本以及有效载荷位置编号。此外,如果您单击请求中的负载位置,Burp 会自动从 Payload position 下拉列表中选择相应的项目。这些更新可帮助您在配置攻击时快速识别和管理负载集。用于调试 Bambdas 的输出控制台我们添加了在编写 Bambdas 时将输出打印或记录到控制台的功能。使用提供的日志记录对象,通过对代码执行的实时反馈更高效地进行调试,从而轻松检查变量、跟踪错误和测试代码。质量改善我们对生活质量进行了以下改进:我们添加了一项新设置,允许您选择 Burp Suite 是优先考虑 IPv4 还是 IPv6 进行 DNS 解析。如果您的路由限制仅允许 IPv4IPv6 流量,则此功能特别有用。Cookie jar 现在显示每个 Cookie 是否具有 HTTPOnlySecure 标志,从而为您提供更完整的 Cookie 属性视图。性能改进我们进行了以下性能改进:现在,当所有其他因素都相同时,扫描程序会优先考虑经过身份验证的项目,而不是未经身份验证的项目。我们改进了扫描程序解析大型资源文件的能力,显著缩短了有时导致扫描超时的处理时间。Bug 修复我们修复了以下错误:录制的登录播放程序中的错误导致下拉选项错误地重置。录制的登录记录器中存在一个错误,导致它仅捕获部分登录序列,并阻止将登录信息复制到剪贴板。阻止扫描启动器正确显示的错误。浏览器升级我们已经将Burp的浏览器升级到了Chromium 131.0.6778.109(适用于WindowsMac)和131.0.6778.108(适用于Linux)。有关详细信息,请参阅 Chromium 发行说明。
02

近期星球新增漏洞汇总

1day/0day POC及资源已在星球公开持续更新中,2024漏洞库更新POC 2500+(每周一至周五更新)

#漏洞更新Craft CMS 模板注入导致 Rce漏洞复现(CVE-2024-56145)用友-友数聚科技CPAS审计管理系统V4 getCurserIfAllowLogin 存在SQL注入漏洞致远OA correct任意文件读取(后台)漏洞蓝凌EKP系统webservice多个任意文件读取漏洞(合集)蓝凌EKP系统接口sysFormMainDataInsystemWebservice存在任意文件读取漏洞灵当CRM getMyAmbassador 存在SQL注入漏洞灵当CRM uploadfile.php 存在任意文件上传致RCE漏洞用友-友数聚科技CPAS审计管理系统V4 downPlugs存在任意文件读取漏洞移动应用getPicServlet存在任意文件的读取漏洞安科瑞-智能环保云平台 getenterpriseinfoy 存在SQL注入漏洞神州数码DCME-320 未授权访问漏洞神州数码DCME-320 online_list.php任意文件读取漏洞蓝凌EIS fl_define_edit.aspx存在SQL注入漏洞云连POS-ERP管理系统 download.action存在任意文件读取漏洞CRMEB save_basics存在任意文件下载漏洞(CVE-2024-52726)Apache Tomcat 远程代码执行漏洞(CVE-2024-50379Mitel企业协作平台IDACall存在任意文件读取漏洞任我行在线订货fileupload任意文件上传漏洞短视频系统视频知识付费系统request_by_curl存在前台任意文件读取漏洞飞鱼星路由器htpasswd存在信息泄露漏洞秒优科技供应链管理系统doAction存在SQL注入漏洞WordPress Query Console插件 未授权RCE漏洞复现(CVE-2024-50498) 圣乔ERP系统uploadFile存在任意文件上传漏洞百易云资产管理运营系统 leaseImaRead存在SQL注入 漏洞EasyCVR taillog存在任意文件读取漏洞易宝OA GetUDEFStreamID 存在Sql注入漏洞孚盟云 MailAjax.ashx SQL注入漏洞九思OA系统upload_l.jsp存在任意文件上传漏洞用友U8-CRM rellistname Sql注入漏洞安徽生命港湾信息技术有限公司服务配置工具平台 Download 任意文件读取漏洞Yapi存在远程命令执行漏洞OpenWRT 弱口令登录导致任意文件读取CyberPanel存在身份认证 命令注入漏洞泛微-云桥e-Bridge checkMobile SQL注入漏洞方正畅享全媒体新闻采编系统 reportCenter.do 存在SQL注入漏洞方正畅享全媒体新闻采编系统 screen.do存在SQL注入漏洞用友U8 Cloud ReleaseRepMngAction 存在SQL注入漏洞(CNVDSpring Framework存在目录遍历漏洞(CVE-2024-38819)大华DSS数字监控系统attachment_downloadAtt.action任意文件读取漏洞海康威视运行管理中心applyST远程代码执行漏洞神州数码DCME-320 online_list.php 任意文件读取漏洞图书馆管理平台Template存在任意文件读取漏洞泛微e-cology 9 x.FileDownloadLocation存在SQL注入漏洞妈妈宝盒-ERP UploadHandler存在任意文件读取漏洞上海汉塔网络科技有限公司上网行为管理系统存在远程命令执行漏洞圣乔ERP系统downloadFile存在任意文件读取漏洞JeecgBoot passwordChange 任意用户密码重置漏洞next.js 存在缓存中毒漏洞(CVE-2024-46982)Cloudlog request_form 存在SQL注入漏洞泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞黄药师药业管理软件XSDService.asmx存在任意文件上传漏洞.doApache Struts 存在远程代码执行漏洞(CVE-2024-53677)Sitecore CMS 未经身份验证export 任意文件读取漏洞复现(CVE-2024-6781) 昂捷CRM Cwsuploadpicture任意文件读取漏洞HB1910数字IP程控交换机generate.php存在远程命令执行漏洞 Cleo文件传输软件Synchronization 存在任意文件读取漏洞(CVE-2024-50623)蓝凌OA thirdimsyncforkkwebservice 存在任意文件读取漏洞CVE-2024-53677-S2-067-ALOKDockerUI info 未授权访问漏洞Emlog-Pro 2.4.1最新版存在命令执行漏洞杜特网上订单系统getUserImage SQL注入漏洞DockerUI存在弱口令漏洞蓝凌EIS fl_define_flow_chart.aspx存在SQL注入漏洞中科网威anysec安全网关arping存在后台远程命令执行漏洞用友GRP-U8系统taskmanager_login存在SQL注入漏洞玛格泰克科技发展有限公司系统默认口令漏洞圣乔ERP系统 ResultSetConvertor 存在SQL注入漏洞圣乔ERP系统 SingleRowQueryConvertor 存在SQL注入漏洞圣乔ERP系统 存在DwrUtil SQL注入漏洞锁群管理系统key.aspx存在默认cookie登录漏洞用友NC系统接口yerfile_down bill存在SQL注入漏洞畅捷通T-Plus ajaxpro Ufida SQL注入漏洞MitelMiCollab 身份绕过导致任意文件读取漏洞复现(CVE-2024-4171#其他资源更新红队学习资料fscan免杀版MetasploitPro 4.22.5-Update 202411一些漏洞报告一些漏洞报告和其他资料任意用户登录漏洞的技巧小程序意外泄露信息拿下管理员后台edusrc挖掘心得CobaltStrike4.9.1中文版CobaltStrike OneCS-49_尊享版应急-溯源相关资料SRC挖掘技巧文档Python渗透测试编程技术脚本编写视频社工钓鱼知识库安卓APP测试文档SRC资产表车联网漏洞分析与挖掘技术漏洞挖掘自动化赏金技巧手册...
03

使用/安装方法

1.脚本改进

windows bat文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件for /R "%~dp0" %%i in (burpsuite_pro_v*.jar) do (    set "burp_jar=%%~fi"    goto :Found)linux sh文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件# 使用globbing找到以"burpsuite_pro_v"开头的jar文件for jarfile in burpsuite_pro_v*.jar; do    # 如果找到了文件,就跳出循环    if [[ -e "$jarfile" ]]; then        break    fidone

2.修复Mac版的中文包bug

3.首次安装请查看安装文档PDF进行安装

4.老用户直接打开使用即可

5.英文版点击burpsuiteProEN启动

6.中文版点击创建桌面快捷方式即可启动

7.新增Mac版安装教程

04

免责声明

获取方法

 公众号回复20241224获取软件

 全新界面(解压密码:HackTwo)

👈

最后必看

    本工具及文章技巧仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。

    在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具来源于网络,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!

    在安装并使用本工具前,请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网