Burp Fastjson漏洞探测扫描插件

工具介绍

FastjsonScan4Burp是一款基于burp被动扫描的fastjson漏洞探测插件，可针对数据包中存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探测、深入利用fastjson漏洞，目前已实现fastjson探测、版本、依赖探测、出网及不出网利用和简易的bypass waf功能。

工具模块

目前插件具有的功能模块：

低感知探测扫描出网扫描不出网扫描fastjson版本探测fastjson依赖探测bypass waf模块dns平台实时切换

扫描原理

插件会自动发现数据包GET/POST请求中包含有json的value或请求体是否为Content-Type:application/json。判断依据为是否包含有{}或[] GET中value存在json

POST中value存在json

Content-Type为json（以下案例均是，不多赘述） 检测出json后，默认会调用fastjson探测、远程命令执行探测及不出网探测。

插件各模块扫描原理及使用方法可看作者github。

下载地址

https://github.com/Niiiiko/FastjsonScan4Burp

文章来源：Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END