如何编写自己的Burp Suite插件

一、简介

Burp Suite插件支持语言:
Java、Python、Ruby
此文章实例插件编写使用Python语言写的tp5 rce漏洞扫描

二、环境安装

1.下载jython

Jython是一种完整的语言，而不是一个Java翻译器或仅仅是一个Python编译器，它是一个Python语言在Java中的完全实现。Jython也有很多从CPython中继承的模块库。最有趣的事情是Jython不像CPython或其他任何高级语言，它提供了对其实现语言的一切存取。所以Jython不仅给你提供了Python的库，同时也提供了所有的Java类。这使其有一个巨大的资源库
下载链接:https://www.jython.org/download

2.加载jython

下载好之后需要将下载的jython加载到burp suite中,操作如下图所示:

三、官方提供案例

https://portswigger.net/burp/documentation/desktop/tools/extender#options_pythonenv

感兴趣的师傅可以自己查看其它详细信息

选择要查看的案例,以”Hello World”为例,点击Python
跳转到链接后获取相关代码

复制或下载后查看代码如何编码,顺便在代码最前面加上编码格式
coding=UTF-8
后续的代码编写每一个文件开头都要加上,否则会报错

jython编写案例如上图所示

四、Burp Suite加载.py文件

具体操作如下图所示:


点击”Next”后成功输出内容(虽然是报错的,但可以根据提示慢慢修改)

五、实例演示

tp5 rce漏洞扫描,这个插件是别的师傅已经写好,非常好用
源码及其文章地址:
https://blog.csdn.net/weixin_43263451/article/details/124279128
和前面一样,加载下载(或自己编写)好的.py文件

点击Next后出现以下输出说明加载成功

接下来开启burp suite代理,该插件会所有的请求进行漏洞检测,存在tp5漏洞则返回pyload,不存在则继续扫描其他请求

获取更多网络安全信息：
+Q Q群：863658976
V X公众号: 哈客部落
哈客社区：hake.cc