夜雨聆风重点导读安全声明
本工具仅作为安全研究交流,请勿用于非法用途。使用本工具时须遵守当地法律法规,任何违规行为需自行承担后果。
重点导读项目概述
BurpFingerPrint 是一款面向 BurpSuite 的指纹识别插件,专注于被动扫描场景下的目标资产发现与识别。
该插件基于 Java 9+ 开发,作为 BurpSuite 扩展运行于代理监听模式。核心功能围绕浏览器流量解析、URL 提取与指纹匹配展开,兼容 Ehole 指纹库,支持 SQLite 本地持久化存储。
重点导读核心功能
PART 01被动指纹识别
插件在后台拦截浏览器访问请求,对响应正文进行关键词匹配与特征提取,识别目标系统所属产品类别。已集成 Ehole 指纹识别库,覆盖 OA 系统、网络设备、CMS 等常见指纹规则。
PART 02URL 提取与解析
自动提取页面中的链接地址,并对 JS 文件进行深度解析,提取其中隐含的 API 端点与资产路径。提取结果同步纳入指纹识别流程,实现被动资产发现。
PART 03指纹库管理
提供图形化界面实现指纹库的热更新,支持导入、导出、重置操作。指纹规则区分重点指纹与常见指纹,重点指纹针对实战热门漏洞,可直接用于漏洞验证。
PART 04弱口令爆破
内置 Tomcat 弱口令检测模块,支持定时任务调度与队列管理。检测结果写入本地数据库,可随时查看爆破状态与历史记录。
重点导读技术架构
PART 05模块划分
| 模块 | 职责 |
|---|---|
| BurpExtender | 扩展入口,生命周期管理 |
| IProxyScanner | 代理监听,流量解析 |
| FingerUtils | 指纹匹配引擎 |
| DatabaseService | SQLite 持久化层 |
| WeakPasswordTab | 弱口令界面 |
| FingerConfigTab | 指纹配置界面 |
PART 06线程模型
扫描模块采用 ThreadPoolExecutor 实现并发处理,核心线程数动态匹配 CPU 核心数,最大线程数为核心数的两倍。任务队列采用 CallerRunsPolicy 策略,队列满时任务回退至调用者线程执行,避免任务丢失。
数据库监控采用 ScheduledExecutorService 实现定时调度,间隔 10 秒轮询待检测目标。
PART 07数据存储
扫描结果存储于 SQLite 数据库,包含请求响应记录、指纹匹配日志、弱口令检测状态。数据库设计支持断点续传,BurpSuite 异常退出后数据不丢失。
重点导读支持指纹
PART 08OA 系统
通达OA、致远OA、蓝凌OA、泛微OA、万户OA、东华OA、信呼OA
PART 09其他系统
Apache Tomcat
重点导读依赖环境
| 组件 | 版本 |
|---|---|
| JDK | 9+ |
| Burp Extender API | 2.3 |
| Gson | 2.8.9 |
| SQLite JDBC | 3.45.3.0 |
重点导读构建方式
项目基于 Maven 管理,依赖配置位于 pom.xml。构建命令:
bashmvn clean package
构建产物为 BurpFingerPrint-v1.4.jar,可直接加载至 BurpSuite。
重点导读应用场景
- 攻防演练资产发现
- 授权渗透测试信息收集
- 甲方安全评估资产梳理
本公众号非项目作者,仅做技术分享。
本文介绍的项目开源地址如下:
texthttps://github.com/shuanx/BurpFingerPrint
广告时间
低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。
糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!
