Everything is hacked.

There is no 100 % security.

Tools/Burpsuite

Jython Extentions in Burpsuite

Kai_HT 2025. 7. 2. 11:07

Jython + Burpsuite

웹 취약점 점검을 실시하다보면 SQL Injection 구간을 많이 확인할 수 있다. 다만 무조건 적으로 나타나는 것은 아니지만 Error Injection 도 간혹 나타나기도 한다. 블라인드나 유니온 인젝션의 경우 데이터 추출 시, 해당 조건에 맞게 코드를 작성해야한다는 단점이 존재하나 Error Injection 의 경우 노출되는 에러가 정해져있어 보다 편하게 데이터를 추출할 수 있다.
(물론 애시당초 SQL 쿼리문이 먹힌다는 것이 말이 안되는 ... 상황이긴 하지만 말이다.)

때문에 본인은 그 귀찮음이 싫어 버프슈트 Extention 을 작성하게 되었다. 초반엔 Java 를 이용하여 작성하려 했으나, Java 특성상 버전도 많이타고 하기 때문에 Jython 으로 작성하게 되었다.


해당 기능을 위해선 Burpsuite 내 Jython 기능을 추가해야한다.

Burpsuite 내 Python 기반 Extentions 추가 화면

Jython Standalone 파일은 여기에서 다운로드 받을 수 있다.

 

Downloads

The Python runtime on the JVM

www.jython.org

해당 파일 다운로드 이후, 본 화면 하단에 노출되어있는 Settings > Extensions > Python enviroment 내 등록해준다.

Jython Standalone 파일 등록

해당 파일 등록 후 Extentions 내 Add 를 통해 작성된 Extention 을 추가해준다.

Burpsuite - Extensions - Add
Extension details - Extension file (.py) - Select file ...

해당 화면을 확인해보면 성공적으로 해당 Extention이 추가된 것을 확인할 수 있다.