freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

详细讲解 | 利用python开发Burp Suite插件(二)
2019-01-19 09:00:43

前言:

上一篇文章详细讲解 | 利用python开发Burp Suite插件(一)简单介绍了如何配置burpsuite插件开发环境和burp suite插件api的大概用途,详细内容可参考官方手册。今天将利用python实战写一个简单的sql注入插件(实现每个参数后面加入单引号),开发过程我会详细介绍每一个步骤,后续可模仿着,完善插件。

所需要的接口类

 利用python开发Burp Suite插件

IBurpExtender

所有插件必须实现这个接口,类名字必须为“BurpExtender”,并且必须提供一个默认构造器”。

IBurpExtender用来在burp上面注册扩展,IBurpExtender里面还有一个registerExtenderCallbakcs类方法需要实现:

 利用python开发Burp Suite插件

当扩展被调用时,会注册一个IBurpExtenderCallbacks实例,该实例提供了许多常用操作:

 利用python开发Burp Suite插件

先完成和理解部分代码:

 利用python开发Burp Suite插件

IIntruderPayloadGeneratorFactory:

调用IBurpExtenderCallbacks.registerintruder

PayloadGeneratorFactory()注册一个payload生成器。

此类下面有两个类方法需要实现“createNewInstance”和“getGeneratorName”

 利用python开发Burp Suite插件

createNewInstance方法:创建一个payload生成器新的实例,发动插件攻击时会返回payload生成器的实例。

getGeneratorName方法:用来获取payload生成器的名称

继续完成和理解代码:

 利用python开发Burp Suite插件

我们已经注册了payload生成器,现在我们需要用一个接口类去定义我们的payload生成器

IIntruderPayloadGenerator:这个接口类用来定义插件的payload生成器,定义的前提是我们得有东西去定义。所以我们用IIntruderPayloadGeneratorFactory返回此接口的新实例。

这个接口类里面有三个类方法getNextPayload”

,”hasMorePayloads”,”reset”

 利用python开发Burp Suite插件

getNextPayload:用于获取下一个payload

hasMorePayloads:决定生成器是否能够提供更多payload

reset :重制生成器状态,使下次调用getNextPayload方法时返回第一条payload

继续完成和理解代码:

 利用python开发Burp Suite插件

我们可以打印出current_payload和转码后的payload看看:

 利用python开发Burp Suite插件 利用python开发Burp Suite插件

这里就不做过多解释了,一目了然。我这里使用的DVWA-low-sql的环境进行的测试。

贴一张完整的简洁的代码:

 利用python开发Burp Suite插件

最后再附一张图整理逻辑:

 利用python开发Burp Suite插件*本文作者:锋之刃安全团队,转载请注明来自 FreeBuf.COM

# Burp Suite # python
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者