工具介绍xia_tan (瞎探) v1.0 — BurpSuite 多漏洞自动化探测插件通过修改请求参数对常见 Web 漏洞进行自动化初步探测的 BurpSuite 扩展插件。支持反射 XSS、SQL 注入10 种数据库、SSTI 模板注入6 大家族 20 引擎、NoSQL 注入采用行级 Jaccard 相似度算法替代传统响应长度对比结合多步布尔盲注对照算法大幅降低误报率。功能特性1. 反射 XSS 探测注入唯一 HTML 标记xia0tan检测反射未编码反射标签原样返回→ 严重性High编码反射标记文本返回但 HTML 标签被编码→ 严重性Info自动跳过Content-Type: application/json的响应JSON 响应无 XSS 风险基线中已包含标记时自动跳过降噪2. SQL 注入探测2.1 支持的数据库10 种数据库报错特征数量示例特征MySQL/MariaDB21SQL syntax.*MySQL,XPATH syntax error,Division by 0MSSQL12Unclosed quotation mark,Divide by zero errorPostgreSQL10ERROR: syntax error at or near,division by zeroOracle8ORA-\d{4,5},divisor is equal to zeroSQLite7SQLITE_ERROR,unrecognized tokenDB25CLI Driver.*DB2,SQLCODEInformix3com.informix.jdbcSybase3Adaptive ServerMS Access3JET Database EngineHQL/Hibernate4org.hibernate.QueryException2.2 检测方式阶段检测类型说明2AORDER BY 注入针对排序参数sort, order 等使用 UPDATEXML/EXTRACTVALUE/FLOOR 报错 CASE WHEN 条件差异2B数字型注入纯数字参数追加/1和/0对比响应差异和除零报错2C报错探针发送\触发语法错误正则匹配 10 种数据库特征2DMySQL XPATH 报错5 种 UPDATEXML/EXTRACTVALUE payload覆盖单引号/括号/数字型上下文2E布尔盲注全新 OR/AND 多步对照算法见下方详细说明2F延时注入5 种数据库 SLEEP/WAITFOR/pg_sleep 快速轮询命中即停2.3 延时注入 WAF 绕过数据库绕过技巧MySQLBENCHMARK(),ST_Buffer(),JSON_KEYS(),ELT(),XOR, 注释混淆SLEEP/**/(), 大小写变异SlEEp()MSSQLWAITFOR DELAY, 变量延迟DECLARE d, 条件延迟IF(11)PostgreSQLpg_sleep(), 子查询延迟,|| pg_sleep()拼接OracleDBMS_PIPE.RECEIVE_MESSAGE(),DBMS_LOCK.SLEEP(),UTL_INADDRSQLiteRANDOMBLOB()大计算量延迟,LIKE(UPPER(HEX(...)))3. SSTI 模板注入探测覆盖6 大家族 20 模板引擎每个家族使用不同的唯一操作数通过计算结果精确定位被执行的模板语法。表达式语法覆盖引擎操作数示例{{A*B}}Jinja2, Twig, Pebble, Nunjucks, Handlebars, Smarty391371×91373${A*B}Freemarker, Mako, Groovy, EL/JSP, Velocity, Thymeleaf91374×91376%A*B%ERB (Ruby), EJS (Node.js), ASP91377×91379#{A*B}SpEL (Spring), Jade/Pug91380×91382(A*B)Razor (.NET)91383×91385{A*B}Smarty2 (PHP)91386×91388与 XSS 探测合并在同一请求中发送节省请求数量。基线中已包含计算结果时自动跳过降噪。4. NoSQL 注入探测4.1 布尔盲注字符串上下文使用与 SQLi 相同的OR/AND 多步对照算法但语法为 JavaScript 风格Payload语义 || 11OR 恒真 || 12OR 恒假 11AND 恒真 12AND 恒假4.2 操作符注入JSON 请求体将 JSON 字段值替换为 MongoDB 操作符检测响应差异和错误操作符Payload$gt{$gt:}$ne{$ne:}$regex{$regex:.*}$exists{$exists:true}$where{$where:return true}4.3 错误检测覆盖 MongoDB, CouchDB, Elasticsearch, Cassandra, Redis 的 24 种错误模式。5. Cookie 参数探测默认关闭勾选Cookie开关后启用。启用后会将 Cookie 中的参数与 GET/POST 参数同等对待逐一进行注入探测。Cookie 参数同样受Exclude params排除列表控制。严重性说明颜色级别含义 红色High高置信度确认报错注入、布尔盲注确认、延时确认、未编码 XSS 反射、SSTI 运算确认 橙色Medium中置信度NoSQLi 操作符差异、编码反射等⚪ 白色Possible低置信度仅相似度差异、需人工确认 蓝色Info信息性编码反射等工具下载https://github.com/mapl3miss/xia_tan/tree/main
BurpSuite 多漏洞自动化探测插件 | XSS、SQL 注入(10 种数据库)、SSTI 模板注入(6 大家族 20+ 引擎)、NoSQL 注入
工具介绍xia_tan (瞎探) v1.0 — BurpSuite 多漏洞自动化探测插件通过修改请求参数对常见 Web 漏洞进行自动化初步探测的 BurpSuite 扩展插件。支持反射 XSS、SQL 注入10 种数据库、SSTI 模板注入6 大家族 20 引擎、NoSQL 注入采用行级 Jaccard 相似度算法替代传统响应长度对比结合多步布尔盲注对照算法大幅降低误报率。功能特性1. 反射 XSS 探测注入唯一 HTML 标记xia0tan检测反射未编码反射标签原样返回→ 严重性High编码反射标记文本返回但 HTML 标签被编码→ 严重性Info自动跳过Content-Type: application/json的响应JSON 响应无 XSS 风险基线中已包含标记时自动跳过降噪2. SQL 注入探测2.1 支持的数据库10 种数据库报错特征数量示例特征MySQL/MariaDB21SQL syntax.*MySQL,XPATH syntax error,Division by 0MSSQL12Unclosed quotation mark,Divide by zero errorPostgreSQL10ERROR: syntax error at or near,division by zeroOracle8ORA-\d{4,5},divisor is equal to zeroSQLite7SQLITE_ERROR,unrecognized tokenDB25CLI Driver.*DB2,SQLCODEInformix3com.informix.jdbcSybase3Adaptive ServerMS Access3JET Database EngineHQL/Hibernate4org.hibernate.QueryException2.2 检测方式阶段检测类型说明2AORDER BY 注入针对排序参数sort, order 等使用 UPDATEXML/EXTRACTVALUE/FLOOR 报错 CASE WHEN 条件差异2B数字型注入纯数字参数追加/1和/0对比响应差异和除零报错2C报错探针发送\触发语法错误正则匹配 10 种数据库特征2DMySQL XPATH 报错5 种 UPDATEXML/EXTRACTVALUE payload覆盖单引号/括号/数字型上下文2E布尔盲注全新 OR/AND 多步对照算法见下方详细说明2F延时注入5 种数据库 SLEEP/WAITFOR/pg_sleep 快速轮询命中即停2.3 延时注入 WAF 绕过数据库绕过技巧MySQLBENCHMARK(),ST_Buffer(),JSON_KEYS(),ELT(),XOR, 注释混淆SLEEP/**/(), 大小写变异SlEEp()MSSQLWAITFOR DELAY, 变量延迟DECLARE d, 条件延迟IF(11)PostgreSQLpg_sleep(), 子查询延迟,|| pg_sleep()拼接OracleDBMS_PIPE.RECEIVE_MESSAGE(),DBMS_LOCK.SLEEP(),UTL_INADDRSQLiteRANDOMBLOB()大计算量延迟,LIKE(UPPER(HEX(...)))3. SSTI 模板注入探测覆盖6 大家族 20 模板引擎每个家族使用不同的唯一操作数通过计算结果精确定位被执行的模板语法。表达式语法覆盖引擎操作数示例{{A*B}}Jinja2, Twig, Pebble, Nunjucks, Handlebars, Smarty391371×91373${A*B}Freemarker, Mako, Groovy, EL/JSP, Velocity, Thymeleaf91374×91376%A*B%ERB (Ruby), EJS (Node.js), ASP91377×91379#{A*B}SpEL (Spring), Jade/Pug91380×91382(A*B)Razor (.NET)91383×91385{A*B}Smarty2 (PHP)91386×91388与 XSS 探测合并在同一请求中发送节省请求数量。基线中已包含计算结果时自动跳过降噪。4. NoSQL 注入探测4.1 布尔盲注字符串上下文使用与 SQLi 相同的OR/AND 多步对照算法但语法为 JavaScript 风格Payload语义 || 11OR 恒真 || 12OR 恒假 11AND 恒真 12AND 恒假4.2 操作符注入JSON 请求体将 JSON 字段值替换为 MongoDB 操作符检测响应差异和错误操作符Payload$gt{$gt:}$ne{$ne:}$regex{$regex:.*}$exists{$exists:true}$where{$where:return true}4.3 错误检测覆盖 MongoDB, CouchDB, Elasticsearch, Cassandra, Redis 的 24 种错误模式。5. Cookie 参数探测默认关闭勾选Cookie开关后启用。启用后会将 Cookie 中的参数与 GET/POST 参数同等对待逐一进行注入探测。Cookie 参数同样受Exclude params排除列表控制。严重性说明颜色级别含义 红色High高置信度确认报错注入、布尔盲注确认、延时确认、未编码 XSS 反射、SSTI 运算确认 橙色Medium中置信度NoSQLi 操作符差异、编码反射等⚪ 白色Possible低置信度仅相似度差异、需人工确认 蓝色Info信息性编码反射等工具下载https://github.com/mapl3miss/xia_tan/tree/main
