目录导航
GAP Burp Extension简介
这是 Burp 的原始 getAllParams 扩展的演变。它不仅会找到更多潜在的参数供您研究,还会找到尝试这些参数的潜在链接,并生成用于模糊测试的目标特定单词列表。完整的帮助文档可以在此处或通过 GAP 选项卡上的帮助图标找到。
安装
- 访问Jython 官方网站,并下载最新的独立 JAR 文件,例如
jython-standalone-2.7.3.jar. - 打开 Burp,进入Extensions -> Extension Settings -> Python Environment,将Jython 独立 JAR 文件的位置和加载模块的文件夹设置为 Jython JAR 文件保存的目录。
- 在命令行上,转到 jar 文件所在的目录并运行
java -jar jython-standalone-2.7.3.jar -m ensurepip. - 从该项目下载
GAP.py和requirements.txt并将其放置在同一目录中。 - 通过运行安装 Jython 模块
java -jar jython-standalone-2.7.3.jar -m pip install -r requirements.txt。 - 转到扩展->安装,然后单击Burp Extensions下的添加。
- 选择Python的扩展类型并选择GAP.py文件。
使用
只需在 Burp 范围中选择一个目标(或多个目标),甚至只选择一个子文件夹或端点,然后选择扩展GAP:
或者,您可以右键单击任何其他上下文中的请求或响应,然后从“扩展”菜单中选择GAP。
然后转到GAP选项卡查看结果:
重要笔记
如果您不需要其中一种模式,则取消选中它,因为结果会更快。
如果您从“站点地图”视图中为一个或多个目标运行 GAP,则在运行 GAP 时不要展开它们…不幸的是,这可能会使其速度变慢。如果您一次在“站点地图”视图中运行一两个目标,效率会更高,因为大型项目可能会消耗大量资源。
如果您想要对更具体的请求之一运行 GAP,请不要从站点地图树视图中选择它们。如果可能的话,从站点地图内容视图或从代理历史记录运行它会快得多。
设计 GAP 来显示所有屏幕分辨率和字体大小的所有控件是很困难的。我已尝试处理最常见的设置,但如果您发现看不到所有控件,您可以按住按钮Ctrl并单击 GAP 徽标标题图像将其删除以腾出更多空间。
单词模式使用beautifulsoup4库,这可能会很慢,所以请耐心等待!
深入说明
下面深入介绍了 GAP Burp 扩展,从成功安装到解释所有功能。
注意:该视频来自 2023 年 7 月 16 日,探讨了 v3.X,因此在此之后添加的任何功能可能不会出现。
下载地址
转载请注明出处及链接