Turbo Intruder

万物皆可并发，Turbo Intruder是一个用于测试并发的插件。在挖洞过程中经常遇到获取短信验证码，邮箱验证码，点赞，取消赞，领优惠券，提现等功能点，可以利用turbo intruder并发测试这些功能点，说不定有收获

安装方法

直接在BApp安装即可

用法

右键想要并发的包，选择extensions-turbo intruder-send to turbo intruder

一般用race-single-packet-attack.py即可，配置完直接点击下方的attck

HaE

HaE可以通过正则表达式被动匹配相应报文中的敏感信息并高亮，方便挖掘敏感信息泄露

安装方法

BApp

配置

正则表达式配置：https://gh0st.cn/HaE/
安装时可能报错，需要复制Config.yml，Rules.yml在当前用户目录下的.config/HaE/
Config.yml内容如下

excludeSuffix: 3g2|3gp|7z|aac|abw|aif|aifc|aiff|apk|arc|au|avi|azw|bat|bin|bmp|bz|bz2|cmd|cmx|cod|com|csh|css|csv|dll|doc|docx|ear|eot|epub|exe|flac|flv|gif|gz|ico|ics|ief|jar|jfif|jpe|jpeg|jpg|less|m3u|mid|midi|mjs|mkv|mov|mp2|mp3|mp4|mpa|mpe|mpeg|mpg|mpkg|mpp|mpv2|odp|ods|odt|oga|ogg|ogv|ogx|otf|pbm|pdf|pgm|png|pnm|ppm|ppt|pptx|ra|ram|rar|ras|rgb|rmi|rtf|scss|sh|snd|svg|swf|tar|tif|tiff|ttf|vsd|war|wav|weba|webm|webp|wmv|woff|woff2|xbm|xls|xlsx|xpm|xul|xwd|zip

Rules.yml内容为上面的正则表达式

burpfakeip

burpfakeip可以帮你添加所有可以用于伪造ip的头部，以此来绕过ip限制

安装方法

https://github.com/ianxtianxt/burpsuiefakeip

用法

右键报文，在拓展中选择burpfakeip，customIP后输入想伪造的ip地址

xia SQL

xia_sql会被动的给请求的每个参数后面加上单引号，可以用来判断是否存在sql注入点

安装方法

https://github.com/smxiazi/xia_sql

xia Yue

输入低权限的头部认证字段，xia Yue会被动的替换头部认证字段来测试是否存在越权或者未授权

安装方法

https://github.com/smxiazi/xia_Yue

xia Liao

xia Liao可以生成个人信息用于注册等操作，也可以生成webshell，社工字典等

安装方法

https://github.com/smxiazi/xia_Liao

浏览器插件

findsomething

findsomething可以爬取当前页面存在的路径。把路径保存下来去fuzz