夜雨聆风
Burp Suite 插件 | 利用AI为复杂的 HTTP 请求自动生成 Fuzz 字典
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:baobeiaini_ya
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
Burp AI Fuzzer一个基于 AI 驱动的 Burp Suite 渗透测试辅助插件,旨在利用大语言模型(LLM)的上下文理解能力,为复杂的 HTTP 请求自动生成针对性的 Fuzz 字典。
工具功能
-
智能字典生成:支持 OpenAI (GPT-3.5/4) 和 Claude (Opus/Sonnet) 等主流模型,自动解析请求上下文生成高质量 Fuzz 字典。 -
强制规则约束:内置底层提示词约束,确保 AI 仅输出纯净的 Payload 列表,自动处理 §标记位的针对性生成。 -
多模板管理:内置通用、SQL 注入、XSS 等提示词模板,支持用户自定义新增、编辑和删除模板,模板数据持久化在本地 JSON 文件中。 -
便捷标记工具:请求编辑器支持右键“一键标记”,快速为参数添加 §定界符。 -
Intruder 深度集成:支持通过 §标记 Fuzz 位置,一键发送至 Intruder,并作为 Intruder 的自定义 Payload 数据源。 -
配置持久化:API 配置自动保存至 Burp 全局设置,模板数据独立存储,方便迁移和备份。
快速开始
1. 编译项目
项目使用 Maven 管理依赖,你可以直接运行:
mvn clean package编译完成后,在 target/ 目录下会生成 ai-fuzzer-1.0-SNAPSHOT-jar-with-dependencies.jar。
2. 安装插件
-
打开 Burp Suite。 -
进入 Extensions->Installed->Add。 -
选择 Java类型,并加载上述编译好的 JAR 文件。
3. 配置 AI
-
切换到 AI Fuzzer标签页。 -
填写你的 API Key、Base URL(如 https://api.openai.com/v1)以及模型名称。 -
点击 保存配置并点击测试连接确保 API 正常。
🛠 使用说明
1. 发送请求至 AI Fuzzer
在 Burp 的 Proxy、Repeater 或其他模块中,右键点击请求,选择 Send to AI Fuzzer。
2. 标记位置与模版选择
-
在插件编辑框中,使用 §包裹你想测试的参数值,例如id=§1001§。 -
选择合适的提示词模版,或点击 管理模板自定义你的 Fuzz 逻辑。
3. 生成与集成爆破
-
点击 生成 AI 字典,Payload 列表将自动填充。 -
点击 发送至 Intruder,插件将自动同步请求和 Payload。
-
在 Intruder 的 Payloads选项卡中,确保Payload type为Extension-generated,并选择AI Fuzzer Generated。
工具获取
点击关注下方名片进入公众号
回复关键字【260105】获取下载链接
往期精彩
一款轻量级的CTF/渗透测试Fuzz工具 | 多编码方式、多线程、代理转发
2026-01-04
25年结束了 黑客们有啥收获?
2025-12-31
一个功能强大的 Docker 远程 API 漏洞利用工具
2025-12-30
DNSLOG、HTTPLOG无回显漏洞测试辅助平台 | 辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用
2025-12-29
ETH钱包碰撞器,ETH钱包生成 ETH钱包暴力破解 ETH对撞 ETH撞库
2025-12-26
