kn6jq / gatherburp Goto Github PK

B站:视频教程呢?

public class DbUtils
中的写法，会判定.gather目录是不是判定。如果目录不存在，就会创造数据库失败。
要修改create()

请问下师傅 插件中的模块都是被动流量检测的嘛

sql模块发送普通的post数据包就会一个一个参数的去打payload，碰到json数据包，就直接所有参数都一次性打上去了。碰到某些参数又会跳过不测试例如 regiongrade ,mouduleTYpe

尝试使用了一下fastjson回显模块，只看到有spring的回显payload，辛苦大佬有空添加一下其他方式的回显

1. routescan希望能集成RouteVulScan或者APIKit的指纹
2. log4jscan希望能加入Log4j2Scan一样的fuzz功能，扩展可选选型，增加bypass能力

现有功能进过配置都能达到，但是最好预集成进初始配置中，增加开包即用，且个人配置不会随着未来版本迭代重新配置
（就是懒

插件的格式有点小问题，一旦路径输入过长，就不能正常保存配置了。
也不能拖动

用的release里的gatherBurp-gatherBurp-1.0.7-SNAPSHOT-jar-with-dependencies

Routescan初始配置只有xxl-job的poc。

【建议】

1. Routescan扫描路径的poc加入导入导出功能
2. Sqlcheck模块能根据报错或变化直观提示注入点
3. 各模块的白名单域名可多行或正则检查
4. 加入各shiro检查模块 :D

能带带嘛师傅，java不知道怎么学了

burpsuite 版本 2023.9.1
gatherBurp update 20230821

在 Proxy 选中请求右键选择 PermBypass Check ，然后切换到插件页面，看不到任何请求。

sql注入模块的UI 被动检测怎么对不齐呀.

dnslog的这个域名是什么情况，能不能自动加载bp的域名进行检测。还是必须手动配置一个dns服务器，然后人工查看

[SQLITE_ERROR] SQL error or missing database (no such table: route)

1、重复的url似乎会重复进行扫描
2、sql注入模块，如果出现报错的话，可以增加一个提示，就不用每个url都点进去看，像xia_sql那个插件那样

sql注入有时候注入点在URL中，如 /api/XXX(注入点)/XXX/?xxx=xxx，能否参考sqlmap的做法，让用户在疑似注入点的位置加个*号标记