worldtreeboy/OmniStrike

## 为什么选择 OmniStrike？ 大多数 Burp 扩展只做一件事。你最终加载了 15 个扩展，它们争夺线程，重复请求，并漏掉它们之间的盲区。 OmniStrike 用**单一扩展**取代了整个技术栈 —— 18 个主动扫描器、6 个被动分析器、一个 AI 模糊测试器、一个 SQL 利用引擎、一个前置请求链 (Stepper)、一个字典生成器和一个内置 OOB 回调服务器。所有东西共享一个线程池、一个去重存储、一个发现数据库和一个 Collaborator 管道。 **放入一个 JAR。获得一切。** ## 快速开始 ``` 1. Download omnistrike.jar from Releases 2. Burp Suite → Extensions → Add → Java → select omnistrike.jar 3. Set target scope → click Start → browse normally 4. Or right-click any request → Send to OmniStrike ``` ## 模块 ### 主动扫描器 (18) | 模块 | 亮点 | |:---|:---| | **SQLi Detector** | 认证绕过、报错型、UNION、时间型盲注（3 步验证）、布尔型盲注（2 轮）、64 个 OOB payload。跨 10 种数据库引擎约 375 个 payload/参数。 | | **OmniMap Exploiter** | 后检测 SQL 利用引擎 —— 相当于 sqlmap。4 种技术（UNION、Error、Boolean blind、Time blind）、5 种 DBMS 方言、自动边界/DBMS 检测、并行提取、WAF 绕过 tamper 引擎。[详见下文](#-omnimap-exploiter)。 | | **XSS Scanner** | 6 种反射上下文、智能过滤探测、自适应规避、DOM XSS 流分析、CSTI、特定框架 payload（Angular/Vue/React/jQuery）、通过 Collaborator 的盲 XSS。 | | **SSRF Scanner** | Collaborator OOB、带多标记验证的云元数据（AWS/Azure/GCP/Oracle）、DNS 重绑定、49 种本地主机绕过、31 种协议走私 payload。 | | **SSTI Scanner** | 20 种模板引擎、大数字金丝雀、模板语法消耗验证、32 个 OOB payload。 | | **Command Injection** | 3 步时间型、结构化正则输出匹配、140 个 payload/参数（Unix + Windows）、`$IFS`/`%0a`/反引号/双重编码绕过。 | | **XXE Scanner** | 4 阶段：XML body、XInclude、JSON→XML、Content-Type 强制。UTF-16 绕过、SAML 检测、14 个 OOB payload。 | | **Deserialization** | 6 种语言、137+ 条 gadget chains、被动指纹识别、OOB 优先检测、盲注喷洒模式。[详见下文](#-deserialization-scanner)。 | | **WebSocket Scanner** | 被动帧分析 + 跨 8 个注入类别的 OOB 优先主动模糊测试。[详见下文](#-websocket-scanner)。 | | **GraphQL Tool** | 7 阶段：自省（4 种绕过）、schema 分析、注入（SQLi/NoSQLi/CMDi/SSTI/遍历）、IDOR、DoS 配置、HTTP 级别、错误泄露。 | | **CORS Misconfiguration** | 反射 Origin、null 信任、子域信任、协议降级、通配符+凭证、预检绕过。 | | **Cache Poisoning** | 30 个 unkeyed 头向量、29 个 unkeyed 查询参数、可缓存性分析、投毒确认。 | | **Host Header Injection** | 通过 Collaborator 的密码重置投毒、路由 SSRF、重复 Host、覆盖头。 | | **HTTP Param Pollution** | 重复参数优先级、权限提升模式、通过拆分绕过 WAF。 | | **Prototype Pollution** | 服务端 `__proto__`/`constructor.prototype` 带金丝雀持久性验证、行为 gadgets。 | | **Path Traversal / LFI** | 24 个 Unix / 9 个 Windows 目标带结构化内容验证、26 种编码绕过、PHP wrappers（filter/data/iconv）。 | | **Bypass URL Parser** | 全面的 403/401 绕过扫描器。13 种模式：中间路径、末端路径、大小写替换、字符编码（单/双/三/unicode）、HTTP 方法、HTTP 版本、方法覆盖头、协议欺骗、IP 欺骗、端口欺骗、URL 重写头、User-Agent 轮换、组合多头。带分类的基线比较（BYPASS/POTENTIAL/DIFFERENT/SAME）。 | | **CSRF Manipulator** | 11 种 token 操作测试（移除、置空、随机、截断、字符翻转、大小写交换、静态伪造、nonce 重用、Referer/Origin 移除、token 重定位、方法更改）。仅右键菜单。 | ### 被动分析器 (6) | 模块 | 亮点 | |:---|:---| | **Client-Side Analyzer** | DOM XSS source-to-sink、原型污染、带熵验证的硬编码密钥、postMessage、开放重定向、端点提取。自动跳过压缩库。 | | **Hidden Endpoint Finder** | 通过 13+ 个正则模式从 JS/HTML/JSON 提取 API 端点和路径。 | | **Subdomain Collector** | 从 CSP、CORS、重定向和响应体发现子域。 | | **Security Header Analyzer** | HSTS、CSP、CORS、cookie 标志、X-Frame-Options、Referrer-Policy、服务器版本泄露。按主机整合发现。JWT-in-Cookie 检测。 | | **Technology Fingerprinter** | 从头、cookie、体模式和错误页检测 web 服务器、语言、框架、CMS、JS 库、WAF/CDN、缓存和云平台。版本泄露标记。 | | **Sensitive Data Exposure** | 扫描响应以查找信用卡（Luhn 验证）、SSN（范围验证）、批量电子邮件/电话、内部 IP、JWT、数据库连接字符串、AWS ARN、加密货币地址、IBAN。所有值在发现中已脱敏。 | ### 框架工具 (2) | 模块 | 亮点 | |:---|:---| | **AI Vulnerability Analyzer** | AI 驱动的安全分析，具备智能模糊测试、WAF 绕过和自适应多轮扫描。基于 CLI —— 支持 Claude Code、Gemini CLI、Codex CLI、OpenCode CLI。默认禁用。 | | **Wordlist Generator** | 被动词汇收集器 —— 从代理流量收集词汇以构建特定领域的字典。支持历史抓取。 | ## OmniMap Exploiter 后检测 SQL 注入利用引擎 —— 从确认的注入点提取数据库、表、列和数据。所有 payload 来源于 sqlmap。 | 技术 | 速度 | 方法 | |:---|:---|:---| | **UNION** | 最快 | 每请求完整行。NEGATIVE WHERE 模式，DBMS 感知 hex 标记。 | | **Error-based** | 快 | DBMS 错误消息中的数据。MySQL (EXTRACTVALUE, UPDATEXML, FLOOR 等)、PostgreSQL (CAST)、MSSQL (IN/CONVERT)、Oracle (XMLType, UTL_INADDR)。推理回退。 | | **Boolean blind** | 中 | 通过真假页面比较进行二分。并行多线程提取。自适应层级（a-z > 0-9 > 完整 ASCII）。 | | **Time-based blind** | 最慢 | DBMS 无关 —— 尝试所有 5 种 DBMS sleep 函数。零睡眠验证 + 一致性检查。 | **能力**：5 种 DBMS 方言（MySQL、PostgreSQL、MSSQL、Oracle、SQLite） · 自动边界检测 · 3 策略 DBMS 指纹识别 · Level/Risk 系统 · WAF 绕过（9 种 tamper 变换） · 数据库树视图 · CSV 导出 ## Deserialization Scanner **6 种语言，137+ 条 gadget chains**，OOB 优先 Collaborator 检测，盲注喷洒模式。 | 语言 | Chains | 亮点 | |:---|:---:|:---| | **Java** | 34 | 完整 ysoserial 覆盖（CommonsCollections 1-7、Spring、Hibernate、Groovy、C3P0、ROME 等） | | **.NET** | 32 × 9 | Gadget + Formatter 下拉菜单（ysoserial.net 风格） | | **PHP** | 47 | phpggc 移植 —— Laravel、Symfony、Monolog、Guzzle、WordPress、Doctrine、CodeIgniter4、ThinkPHP | | **Python** | 26 | Pickle protocol 0/2/4、PyYAML、jsonpickle | | **Ruby** | 13 | Marshal 二进制编码、Rails ActiveSupport、Oj 库 | | **Node.js** | 17 | node-Serialize、js-yaml、cryo、funcster、原型污染 | **Payload Generator** —— 独立工具（替代 ysoserial/ysoserial.net/phpggc）。4 种输出编码、终端风格预览、一键复制。 ## WebSocket Scanner | 类别 | 检测策略 | 置信度 | |:---|:---|:---:| | CSWSH | 二进制接受/拒绝 Origin 验证 | CERTAIN | | SQL Injection | OOB (xp_dirtree, extractvalue) → 报错型回退 | CERTAIN / FIRM | | Command Injection | OOB (nslookup, curl) → 时间型（3x 统计，>=4s 差值） | CERTAIN / FIRM | | SSRF | URL 参数中的 Collaborator URL | CERTAIN | | SSTI | 多引擎 OOB → 数学求值 ({{7*7}}→49) | CERTAIN / FIRM | | XSS | OOB (img onerror fetch) → 金丝雀反射 | CERTAIN / FIRM | | IDOR | ID 替换 + 响应差异 | TENTATIVE | | AuthZ Bypass | 认证 vs 未认证响应比较 | FIRM | ## AI 扫描 右键单击任何请求以触发 AI 分析。**从不自动触发** —— 零浪费 token。 **能力**：智能模糊测试 · WAF 指纹识别 + 绕过 · 自适应多轮扫描（最多 5 轮，带完整响应反馈） · 跨文件批量分析 · 从确认的发现中学习 payload · Collaborator 数据渗透 · 模糊历史（记住每个 URL/参数/漏洞类型的每个 payload） · 多步利用 | CLI 工具 | 二进制 | 描述 | |:---|:---|:---| | **Claude Code** | `claude` | Anthropic 的 CLI 代理 | | **Gemini CLI** | `gemini` | Google 的 CLI 代理 | | **Codex CLI** | `codex` | OpenAI 的 CLI 代理 | | **OpenCode CLI** | `opencode` | 开源 CLI 代理 | 所有 CLI 工具从 stdin 读取提示以防止命令注入。无需 API 密钥 —— 使用你现有的 CLI 身份验证。 ## Stepper — 前置条件链 多步 web 流程（登录 → CSRF token → 会话刷新 → 表单加载）产生立即过期的单次使用 token。测试最终请求需要首先重放整个链。 **Stepper 自动化此过程。** 将每个前置请求发送到 Stepper，定义提取规则（regex、header、cookie、JSON path），每个传出的 HTTP 请求 —— Repeater、Intruder、OmniStrike 主动扫描 —— 自动首先触发完整链，提取新鲜 token 并将其修补到传出请求中。 - **自动 cookie jar** — 从链响应中捕获所有 `Set-Cookie` 头并将其注入后续请求 - **变量替换** — 在任何请求头或正文中使用 `{{variable_name}}` 占位符 - **4 种提取类型** — Body Regex、Header、Cookie、JSON Path - **带 TTL 的 Token 缓存** — 在高通量主动扫描期间防止冗余链重新运行 - **递归安全 — Stepper 自身的前置请求不会重新触发链 - **序列化执行** — 并发请求共享一次链运行，然后都使用缓存结果 ## 自定义 OOB 服务器 内置 Out-of-Band 回调服务器 —— 无需 Burp Professional，无需互联网。适用于隔离的内部网络。 - **HTTP 监听器** — 捕获 `http://:/` 回调 - **DNS 监听器** — 捕获第一个子域标签为 payload ID 的 DNS 查询 - **透明** — 启用时所有模块自动使用 Custom OOB（与 Burp Collaborator 相同的 `CollaboratorManager` API） - **包含 AI Analyzer** — AI 生成的 OOB payload 也通过自定义监听器路由 通过 OmniStrike 选项卡配置：选择网络接口，设置 HTTP 端口 + DNS 端口，点击 Start。 ## 框架特性 | 特性 | 描述 | |:---|:---| | **Scope 过滤** | 仅扫描范围内的主机 —— 从不触及第三方流量 | | **静态资源跳过** | 主动扫描器跳过 `.js`、`.css`、`.png` 等 —— 被动分析器仍运行 | | **跨模块去重** | 标准化 URL 去重防止冗余发现 | | **模块间数据共享** | SharedDataBus 允许模块共享发现的端点、子域和参数 | | **Session Keep-Alive** | 右键单击登录请求 → Set as Session Login Request。定期自动重放。 | | **Wordlist Generator** | 带历史抓取的被动词汇收集器 —— 从代理流量构建特定领域的字典 | | **29 个 UI 主题** | CyberPunk、Dracula、Monokai、Nord、Solarized 等。作用域主题：仅 OmniStrike（默认）或 Apply Globally。环境光呼吸效果。 | | **请求/响应高亮** | 所有模块在 Burp Dashboard 中使用字节范围标记注释发现 | | **OOB 优先策略** | Collaborator/Custom OOB payload 在基于时间的之前触发；如果 OOB 确认，跳过剩余阶段 | | **3 步时间验证** | 基线 → 真延迟 → 假必须不延迟 | | **智能过滤探测** | 探测哪些字符在过滤中存活，然后仅发送可行的 payload | | **Burp Dashboard 集成** | 发现作为原生扫描问题出现在 Dashboard 任务框中 | ## 检测理念 OmniStrike 围绕**零误报**构建。每个发现都需要结构性证据 —— 不仅仅是响应差异。 1. **OOB 优先** — Collaborator/Custom OOB payload 在其他任何东西之前触发。如果 OOB 确认，跳过其他一切。 2. **多步验证** — 基于时间的使用 3 步验证。布尔盲注使用 2 轮确认。报错型需要正则验证的错误字符串。 3. **智能 payload 选择** — 探测哪些字符在 WAF/过滤中存活，然后仅生成可行的 payload。没有散弹枪方法。 4. **结构性证据** — 每个发现包括请求、响应、匹配模式和字节范围高亮。没有猜测。 ## 从源码构建 ``` git clone https://github.com/worldtreeboy/OmniStrike.git cd OmniStrike ./gradlew shadowJar # → build/libs/omnistrike.jar ``` 需要 **JDK 17+**。依赖：`montoya-api 2026.2`、`gson 2.11.0`。 ## 贡献 1. Fork 并创建功能分支 2. `./gradlew shadowJar` 必须干净编译 3. 针对 [DVWA](https://github.com/digininja/DVWA)、[Juice Shop](https://github.com/juice-shop/juice-shop) 或 [PortSwigger Academy](https://portswigger.net/web-security) 进行测试 4. 提交 PR [GitHub Issues](https://github.com/worldtreeboy/OmniStrike/issues) 用于 bug 和功能请求。 ## 更新日志

v1.41 (2026-03-06) — Technology Fingerprinter, Sensitive Data Exposure

- **Technology Fingerprinter**: 新被动模块 —— 从头、cookie、体模式和错误页检测 web 服务器、语言、框架、CMS、JS 库、WAF/CDN、缓存和云平台。版本泄露标记为 LOW 严重性。按主机+技术去重。 - **Sensitive Data Exposure**: 新被动模块 —— 扫描响应体以查找信用卡（Luhn 验证）、SSN（范围验证）、批量电子邮件/电话（5+ 阈值）、内部 IP、JWT、数据库连接字符串、AWS ARN、加密货币地址和 IBAN（校验位验证）。512KB 体上限，content-type 过滤，所有值在发现中已脱敏。

v1.40 (2026-03-05) — Wordlist Generator

- **Wordlist Generator**: 被动词汇收集器 —— 从代理流量收集词汇以构建特定领域的字典。支持历史抓取。整合端点发现。

v1.39 (2026-03-04) — Theme Scoping, Bypass URL Parser

- **Theme Scoping**: 主题现在默认为 **OmniStrike Only** —— Burp 的 Proxy、Repeater、Intruder 等保持原生。切换 "Apply Globally" 以主题化整个 Burp Suite。选择 "Default" 完全恢复 Burp 的原生外观，零残留样式。 - **Bypass URL Parser**: 新主动扫描器模块 —— 全面的 403/401 绕过工具。13 种绕过模式（中间路径、末端路径、大小写替换、字符编码、HTTP 方法/版本、方法覆盖头、协议/IP/端口欺骗、URL 重写头、user-agent 轮换、组合多头）。带自动分类的基线比较（BYPASS/POTENTIAL/DIFFERENT/SAME）。自定义 UI 面板，带模式选择、结果表、导出为 JSON、上下文菜单集成。 - **Native Mode Default**: OmniStrike 现在默认使用 Burp 的原生 L&F 加载 —— 在显式选择主题之前不应用暗/霓虹样式。 - **Mouse Listener Fix**: 修复了主题切换时的悬停监听器累积（按钮不再累积事件处理程序）。 - **Generation Counter**: 主题应用使用单调生成计数器以防止过时的 `invokeLater` 回调干扰作用域/主题更改。

v1.38 (2026-03-03) — Custom OOB improvements, bug fixes

- **Custom OOB**: 将 `com.sun.net.httpserver` 替换为原始 `ServerSocket` 以获得更广泛的 JDK 兼容性。启动后自检。崩溃报告到 Activity Log。 - **DNS-aware template resolution**: `resolveTemplate()` 现在为 SSTI + WebSocket 模块中的 Custom OOB DNS payload 生成 DNS 兼容的 payload ID。 - **HTTP OOB payloads**: 为 SSTI 和 WebSocket 扫描器中的 Custom OOB 兼容性添加了 HTTP OOB payload。 - **Bug fixes**: 修复了停止/启动周期后的 Collaborator 轮询重启、XXE DOCTYPE/JSON 注入逻辑、Fastjson 反序列化 payload 编码。

v1.37 (2026-03-03) — Stepper, Custom OOB DNS

- **Stepper — Prerequisite Request Chain**: 新框架工具。通过在每个传出 HTTP 请求之前重放前置请求来自动化多步认证流程。自动 cookie jar、4 种提取类型（Body Regex、Header、Cookie、JSON Path）、带 `{{placeholders}}` 的变量替换、带 TTL 的 token 缓存、递归安全、带锁的序列化执行。 - **Custom OOB DNS Listener**: 自托管 DNS 服务器（UDP DatagramSocket）与现有 HTTP 监听器并存。解析 RFC 1035 DNS 查询，从第一个子域标签提取 payload ID，用 A 记录响应。DNS 失败是非致命的 —— HTTP 仍然工作。 - **CustomOobInteraction**: 现在支持 `InteractionType.DNS`（之前硬编码为 HTTP）。 - **UI**: DNS 端口字段添加到 Custom OOB 配置。预览显示 HTTP 和 DNS payload 格式。

v1.36 (2026-03-02) — CSRF Manipulator

- **CSRF Manipulator**: 11 种带基线比较的 token 操作测试。通过通配符模式自动检测 CSRF token。跳过仅 Bearer 端点。 - **Security Header Analyzer**: 按主机整合发现。JWT-in-Cookie 检测。

v1.35 (2026-02-28) — OmniMap 4 techniques

- **OmniMap**: UNION、报错型、布尔盲注、时间盲注提取。5 种 DBMS 方言。DBMS 重新检测。推理回退。

v1.34 (2026-02-27) — OmniMap Exploiter

- 初始 OmniMap 发布 —— 布尔盲注提取、5 种 DBMS 方言、自动边界检测、并行提取、WAF 绕过 tamper 引擎。

v1.33 (2026-02-27) — WebSocket Scanner

- 被动帧分析 + 跨 8 个注入类别的 OOB 优先主动模糊测试。

v1.30 (2026-02-27) — Deserialization expansion

- 137+ 条 chains（47 PHP、26 Python、17 Node.js、13 Ruby）。PHP 函数下拉菜单。编码感知预览。

## 安全声明 OmniStrike 仅用于**授权渗透测试**和**安全研究**。仅针对您有书面测试权限的系统使用。

_{使用 Montoya API 构建。无遗留接口。}

标签：AI安全, Burp Suite, Chat Copilot, CISA项目, DNS交互, HTTP交互, JS文件枚举, Montoya API, OOB检测, PNNL实验室, Talos规则, Web安全, XXE攻击, 主动扫描, 后台面板检测, 域名收集, 域名枚举, 安全测试, 密码管理, 插件开发, 攻击性安全, 攻击框架, 攻击链自动化, 网络安全, 自动化攻击, 蓝队分析, 被动分析, 隐私保护