文章总结： 文章以“脚本小子”自嘲切入，系统梳理Burp插件生态：先总结插件通用逻辑——正则匹配流量提取关键字段后高亮、重放或扫描；随后实战点评xiayue、HAE、TsojanScan、autoDecoder等七款高频工具，指出其可快速挖未授权、标敏感信息、解前端加密等，显著提高渗透效率；同时给出Windows调内存与Debian启动参数两种性能调优方案，并附开源地址，强调全部插件公开可自取，无保留。 综合评分： 78 文章分类： WEB安全,渗透测试,安全工具,实战经验,漏洞分析

做个”脚本小子”–burp插件篇

原创

kingman

kingman安全

2026年1月9日 16:06 中国香港

声明:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。同时所有相关行为均已取得授权，未经作者同意禁止转载

“脚本小子”是贬义词？

可打渗透效率就是比你高你怎么说？

如下均为插件分享具体的插件可在github、bp自带的Bapp商店下载

公众号不提供任何不开源的东西

公众号不提供任何不开源的东西

公众号不提供任何不开源的东西

重要的事说三遍

想直接拿插件地址直接拉到最下面

0x00

实际上burpsuite的插件都做了什么？

大部分插件都是根据，经过burp的流量包通过正则匹配后获取其中的关键内容(例如id、remeberme、key)等等之后走自己的逻辑

图中为HAE的配置页可以看到正则匹配后高亮显示

图中为xiayue的配置页可以看到正则匹配后将数据包分成三种情况重发

好的插件可以大幅度提升渗透效率、缩短渗透流程

如下是常用的一些插件没有排名先后之分

0x01

xiayue（快速针对未授权漏洞的挖掘）：

HAE（快速对敏感信息高亮）：

TsojanScan（漏洞扫描）：

Add Custom Header（添加自定义头）：

autoDecoder（前端加解密对抗）：

0x02

加载过多插件可能会影响burp性能（java会崩溃）

windows：直接burp设置里搜索memo

网上貌似只有windows的解决方案…这让我Debian很难办

Debian：支持正版由于没有礼物 买不起 只能给大家演示loader

首先想和windows用户一样是不可能的了 设置完根本没用 诀窍在于在启动的时候做手脚

此处拿kali举例子

 vi ~/.zshrc 新增如下内容： burpsuite() {  local base="xxx原版burp路径"//（此处默认loader和启动器在同一个位置）  ( cd "$base" || return 1    ./jre/bin/java \      -XX:+IgnoreUnrecognizedVMOptions \      -javaagent:"xxxloader路径"=loader,hanizfy \      --add-opens=java.desktop/javax.swing=ALL-UNNAMED \      -Xmx5G \           // 设置成自己想要的大小      -XX:+UseG1GC \      --add-opens=java.base/java.lang=ALL-UNNAMED \      --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED \      --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED \      --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED \      -jar "$base/burpsuite_pro.jar" "$@"  )}

0x03

xiayue地址：https://github.com/smxiazi/xia_Yue

TsojanScan地址：https://github.com/Tsojan/TsojanScan

autoDecode地址：https://github.com/f0ng/autoDecoder

HAE（商店获取）

Add Custom Header（商店获取）

更多文章请关注：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：kingman安全 kingman《做个”脚本小子”–burp插件篇》