文章总结： 本文介绍了Burpsuite-MCP插件的安装与配置方法，通过MCP协议将BurpSuite与大语言模型工具Cursor联动，实现利用AI辅助分析HTTP数据包、寻找漏洞及解题CTF赛题。作者详细讲解了Java环境配置、路径设置及JSON配置文件的编写要点，并实测了一个较复杂的WebCTF题目，发现AI能正确推导大部分解题步骤，但在无回显命令执行的数据外带环节仍存在不足。整体来看该方案可为安全测试提供思路辅助，适合作为AI与安全工具结合的入门教程。 综合评分： 70 文章分类： 安全工具,WEB安全,CTF,AI安全

Burpsuite-MCP，使用大模型挖漏洞做赛题，最详细教学来了

原创

【白】 【白】

白安全组

2026年3月27日 18:34 江苏

前言

burp接入了MCP模块，简要概述核心作用就是用目前带有智能体的工具，调用burp进行各种控制。

我们可以使用大模型帮助我们分析数据包，寻找当前的漏洞和检测部分CTF类型题目实测下来还是不错的，现在直接讲解比较稳妥的安装使用方式。

正文

一、工具准备

1、Cursor2、BurpSuite较新版本3、burp的mcp插件

拓展下载直接到官方插件中心即可

安装好之后直接在上面栏目中就打开了，这里不需要配置什么东西，然后我们下载cursor

下载地址：

https://cursor.com/

下载好之后开始我们的配置工作，有不少教程会让大家使用其他的工具，比如Cherry Studio这些，这个就会出现报错，所以我这里研究了官方文档之后，使用了cursor使用稳妥一些的联动方式。】

二、配置联动

进入cursor的设置，然后点击左边的MCP栏目

新建mcp服务

这里我们填写内容，填写之前我们到bp中下载一个Java文件

把这个Java文件放到一个文件夹中，路径不要有中文，然后我们复制路径放入下面的json中

{
  "mcpServers": {
    "burp": {
      "command": "C:\\Program Files\\Common Files\\Oracle\\Java\\javapath\\java.exe",
      "args": [
        "-jar",
        "D:\\mcp-proxy.jar",
        "--sse-url",
        "http://127.0.0.1:9876"
      ]
    }
  }
}

然后上面是我们的Java路径，这两个路径都不能有中文，然后中间的斜杠一定是双斜杠，不然都会报错

不知道Java路径的可以用where Java命令查询

然后我们保存回到上一个目录

点击开启之后左边是绿色小圆点就是启动正常，否则会有一些问题。

三、使用与测试

我们使用就可以直接在左边对话，让他调用burp访问百度，这个时候burp就会出现一个是否同意的提示，可以选择一直同意即可。

这里我测试了一个web的CTF赛题，这个是往年的一个赛题，大家可以看下测试结果

我开局知识给了她一个这样的话，让他调用burp尝试找思路，然后跑了五分钟左右，他给了我一个思路过程

    有耐心的朋友可以仔细看看这个过程，其实从正常解题的角度来看，还是比较复杂的web类型题目，但是他依然是做出了正确的解题过程，不过值得说的是，最后一步命令执行无回显需要自己带数据出网的时候，他就卡住了，一直跑不出来，这种从数据中分析不出来的思路还是有点问题的。

    不过总的来看，能将前面步骤都分析出来，最后只差一步稍微有点经验的师傅就会很容易做出来了，哪怕有一些很难得题目，也可以适当提供一些思路给我们。

    挖洞的实操还需要我再进行测试，后续有测试情况会同步给大家。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白安全组 【白】 【白】《Burpsuite-MCP，使用大模型挖漏洞做赛题，最详细教学来了》