文章总结: 本文介绍BurpFingerPrint,一款基于Java9+的BurpSuite被动指纹识别插件。它集成Ehole指纹库,支持OA系统、网络设备等资产识别,具备URL提取、指纹库热更新及Tomcat弱口令爆破功能。采用线程池并发处理与SQLite持久化存储,适用于攻防演练与授权渗透测试的信息收集阶段。文章末尾包含商业推广内容。 综合评分: 80 文章分类: 渗透测试,红队,内网渗透,安全工具,WEB安全
炸裂!这款BurpSuite插件让指纹识别效率提升1000%,实战渗透工程师直呼内行
棉花糖糖糖 棉花糖糖糖
棉花糖网络安全工具箱
2026年6月6日 11:00 四川
在小说阅读器读本章
去阅读
重点导读安全声明
本工具仅作为安全研究交流,请勿用于非法用途。使用本工具时须遵守当地法律法规,任何违规行为需自行承担后果。
重点导读项目概述
BurpFingerPrint 是一款面向 BurpSuite 的指纹识别插件,专注于被动扫描场景下的目标资产发现与识别。
该插件基于 Java 9+ 开发,作为 BurpSuite 扩展运行于代理监听模式。核心功能围绕浏览器流量解析、URL 提取与指纹匹配展开,兼容 Ehole 指纹库,支持 SQLite 本地持久化存储。
重点导读核心功能
PART 01被动指纹识别
插件在后台拦截浏览器访问请求,对响应正文进行关键词匹配与特征提取,识别目标系统所属产品类别。已集成 Ehole 指纹识别库,覆盖 OA 系统、网络设备、CMS 等常见指纹规则。
PART 02URL 提取与解析
自动提取页面中的链接地址,并对 JS 文件进行深度解析,提取其中隐含的 API 端点与资产路径。提取结果同步纳入指纹识别流程,实现被动资产发现。
PART 03指纹库管理
提供图形化界面实现指纹库的热更新,支持导入、导出、重置操作。指纹规则区分重点指纹与常见指纹,重点指纹针对实战热门漏洞,可直接用于漏洞验证。
指纹配置界面
PART 04弱口令爆破
内置 Tomcat 弱口令检测模块,支持定时任务调度与队列管理。检测结果写入本地数据库,可随时查看爆破状态与历史记录。
重点导读技术架构
PART 05模块划分
| 模块 | 职责 | | — | — | | BurpExtender | 扩展入口,生命周期管理 | | IProxyScanner | 代理监听,流量解析 | | FingerUtils | 指纹匹配引擎 | | DatabaseService | SQLite 持久化层 | | WeakPasswordTab | 弱口令界面 | | FingerConfigTab | 指纹配置界面 |
PART 06线程模型
扫描模块采用 ThreadPoolExecutor 实现并发处理,核心线程数动态匹配 CPU 核心数,最大线程数为核心数的两倍。任务队列采用 CallerRunsPolicy 策略,队列满时任务回退至调用者线程执行,避免任务丢失。
数据库监控采用 ScheduledExecutorService 实现定时调度,间隔 10 秒轮询待检测目标。
PART 07数据存储
扫描结果存储于 SQLite 数据库,包含请求响应记录、指纹匹配日志、弱口令检测状态。数据库设计支持断点续传,BurpSuite 异常退出后数据不丢失。
重点导读支持指纹
PART 08OA 系统
通达OA、致远OA、蓝凌OA、泛微OA、万户OA、东华OA、信呼OA
PART 09其他系统
Apache Tomcat
重点导读依赖环境
| 组件 | 版本 | | — | — | | JDK | 9+ | | Burp Extender API | 2.3 | | Gson | 2.8.9 | | SQLite JDBC | 3.45.3.0 |
重点导读构建方式
项目基于 Maven 管理,依赖配置位于 pom.xml。构建命令:
bashmvn clean package
构建产物为 BurpFingerPrint-v1.4.jar,可直接加载至 BurpSuite。
重点导读应用场景
- 攻防演练资产发现
- 授权渗透测试信息收集
- 甲方安全评估资产梳理
本公众号非项目作者,仅做技术分享。
本文介绍的项目开源地址如下:
texthttps://github.com/shuanx/BurpFingerPrint
广告时间
低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。
糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《炸裂!这款BurpSuite插件让指纹识别效率提升1000%,实战渗透工程师直呼内行》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论