larrypeseckis/burp-cc-bridge

GitHub: larrypeseckis/burp-cc-bridge

Burp Suite REST API自动化工具,实现自动化测试和漏洞扫描。

Stars: 5 | Forks: 0

# CC-Bridge [![最新版本](https://img.shields.io/github/v/release/larrypeseckis/burp-cc-bridge?label=release&color=blue)](https://github.com/larrypeseckis/burp-cc-bridge/releases/latest) [![许可证:MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) [![Burp 社区](https://img.shields.io/badge/Burp-Community-orange.svg)](https://portswigger.net/burp/communitydownload) [![Java 17+](https://img.shields.io/badge/Java-17%2B-red.svg)](https://adoptium.net/) 一个 Burp Suite (Montoya API) 扩展,它通过 localhost HTTP API 暴露 Burp 最有用的原语,以便代理编码外壳(Claude Code、OpenAI Codex 等)可以从 `curl` 驱动 Burp。 在 Burp Community 上运行。 ## 下载 获取最新版本的 JAR 文件——无需克隆或构建: **→ [cc-bridge-0.1.0.jar](https://github.com/larrypeseckis/burp-cc-bridge/releases/download/v0.1.0/cc-bridge-0.1.0.jar)** *(381 KB · sha256 `10e21b82a602e43df62ffa2758ef3f51a24af8e1a04affa82ef12d02bde9192c`)* 所有版本: 有关 7 个 PortSwigger Web 安全学院实验室(涵盖 6 个漏洞类别,250 个 cc-burp 调用,6 个解决,1 个记录的架构边界,0 个 GUI 回退)的验证结果,请参阅 [VALIDATION.md](VALIDATION.md). ## 从源码构建 ``` mvn clean package # -> 目标/cc-bridge-0.1.0.jar(阴影胖 JAR) ``` ## 安装 1. 打开 Burp → 扩展 → 已安装 → 添加。 2. 输入 **Java**,指向 `target/cc-bridge-0.1.0.jar`,点击下一步。 3. 输出标签应打印: CC-Bridge 监听 http://127.0.0.1:1337 认证令牌写入到 ~/.cc-bridge-token(模式 600) 4. 从 shell 中: curl -sH "Authorization: Bearer $(cat ~/.cc-bridge-token)" http://127.0.0.1:1337/health 在 JVM 参数(扩展设置 → JVM 属性)中覆盖绑定主机/端口: `-Dccbridge.host=127.0.0.1 -Dccbridge.port=1337` ## API | 动词 | 路径 | 主体 / 查询 | |------|------|---| | GET | `/health` | – | | POST | `/send` | `{method,url,headers?,body?}` 或 `{raw, host, port, tls}` | | GET | `/history` | `host=`, `method=`, `status=`, `contains=`, `source=proxy|store|all`, `limit=` | | GET | `/history/{id}` | – | | POST | `/repeat/{id}` | `{headers?, removeHeaders?, body?, method?, url?}` | | POST | `/decode` | `{input, kind: auto|b64|b64url|url|hex|jwt|gzip}` | | POST | `/scan` | `{url|historyId, type: active|passive}` | | GET | `/scan/{taskId}` | – | | DEL | `/scan/{taskId}` | – | | GET | `/issues` | `host=`, `severity=HIGH|MEDIUM|LOW|INFORMATION` | | POST | `/collaborator/new` | – | | POST | `/collaborator/{ctx}` | 在现有 ctx 上生成另一个有效载荷 | | GET | `/collaborator/{ctx}` | 轮询交互 | 所有端点都需要 `Authorization: Bearer `。 ## Shell 包装器 ``` ./cc-burp health ./cc-burp send -d '{"method":"GET","url":"https://example.com/"}' ./cc-burp history 'host=example.com&limit=10' ./cc-burp 'history/42' ./cc-burp 'repeat/42' -d '{"headers":{"X-Spoof":"1"}}' ./cc-burp 'collaborator/new' -X POST ``` ## 注意事项 - 出站请求通过 Burp 的 HTTP 客户端进行,因此它们会显示在代理历史记录中,并尊重范围、上游代理和会话处理规则。 - 只有在 `~/.cc-bridge-token` 缺失或为空时才会重新生成令牌。删除它以轮换。 - 默认绑定是 `127.0.0.1`——永远不要将其暴露给网络。
标签:API 开发, Burp Suite, curl, HTTP API, Java 17, Java 扩展, JS文件枚举, Maven, MIT 许可, REST API, Web 安全, 代码自动化, 域名枚举, 安全测试, 攻击性安全, 本地开发, 漏洞验证, 社区版, 软件开发