Burp Suite滲透實戰操作指南-上篇
Burp必備知識
在介紹功能之前有必要讓大家了解一些burp的常用功能,以便在使用中更好的發揮麒麟臂的優勢。
1.1 快捷鍵
很多人可能都沒用過burp的快捷鍵吧,位置如下,不說話,如果不順手可以自己定義。
1.2 抓包設置
網上設置抓取HTTPS的數據包設置步驟太多,這裏來個簡單的。其實很多步驟不用按照網上的教程來。
1:訪問本地監聽的端口,在瀏覽器或者burp中下載證書。
2:雙擊證書根據向導安裝。下一步,下一步,還是下一步,就安裝成功了,證書其實和瀏覽器並沒有太大關系,Google、火狐都能抓到https的包了。
1.2.1、安卓APP抓包
有安卓手機的,老司機建議最好使用實體機測試APP,操作性、流暢度都會好一些。如果手裏沒有Android手機,但又對APP測試愛的深沈無法自拔的同學,買手機吧。
可以使用模擬器進行測試。 筆者喜歡用國產的天天模擬器或者Andy、 Genymotion。
大家可能會問。使用很多模擬器發現獲取到的IP是10.0.3.15,局域網的IP是172.17段的。不在一個段怎麽抓包啊。其實你不用擔心,筆者親測,直接將Android手機的代理設置為電腦鎖鏈接的無線網IP即可抓包。抓取HTTPS下載證書什麽的就很簡單了。
看下本地連的無線網絡是哪個。並在burp中設置對應端口。
Android手機WIFI開關上長按,彈出高級選項,設置代理:
1.2.2、抓更多的包
Burp
suite默認情況下只截斷請求數據包(get,post,request…),為了截斷服務器回應數據包等其他數據包,需要將proxy->option選擇中的interrupt設置修改。勾選上希望抓取的包類型,如果沒有找到自己想要的,可以手動添加一個,支持正則。
1.2.3QA:解決抓不到包的問題
- 監聽選項前面的勾要選上。
- Burp監聽的默認端口被占用,修改默認監聽端口;
- 同一局域網代理抓包不到,1)修改dns為同一dns,2)關閉電腦防火墻;
- 檢查是否開啟Upstream Proxy Servers,如果沒有相對應的socket開啟請關閉;
- 恢復默認設置Burp>>Restore defaults,退出重新啟動;
- 證書未安裝或安裝錯誤,請查看Proxy設置
- 當用手機抓包時錯誤提示“The
Client failed to negotiate an SSL connection to example.com:443:
Received fatal alert:
certifice_unknown”,說明可能安裝證書的時候沒有以開發者模式安裝。檢查一下手機是否處於開發者模式。
1.3 瀏覽器檢測
測試某些站點時可能會遇到瀏覽器檢測,只能使用指定的瀏覽器或者手機訪問訪問,不用擔心,通過設置數據包中包含瀏覽器信息可以輕易避免此問題。配合Google瀏覽器可以輕易解決此問題:
1.4 SOCKS代理訪問
代理的用途可就多了。FQ、解救被封印的少女、防查水表、可謂必備啊。比較遺憾的是Burp只支持socks代理。不過也還是挺好用的。說到防查水表,首先你得有個國外的水表,警察叔叔才不會漂洋過海來查你。筆者當年在國外搬磚,運氣好在搬瓦的工地上撿到一塊還不錯的水表。
可以直接登錄遠程的代理。也可以在本地SS代理搞起,然後監聽對應的端口就行了。這樣電腦、Burp都可以了。
如何測試socks代理是否設置成功?
用Burp發包訪問下google就知道了。為了更為直觀的表現,我這裏訪問個dnslog,在記錄中將收到來自美國的問候。
1.5 【正文來了】Spider爬蟲
Burp獲取url主要通過測試者訪問記錄和主動爬蟲。HTTP history記錄了測試者的測試過程,適合用於測試指定的功能,也可反應出滲透工程師的測試過程,特別是對於幾個相鄰有關的數據包的查看起到很好的作用。
Burp Suite抓取數據包後會自動將網站加入到Target中,為了定向爬取和掃面目標網站,將目標網站加入Scope特別關註。在經行Spider爬蟲的時候就只會爬取Scope網站中的鏈接
Scope支持正則表達式:
如果想要爬取目標域名機器相關的二級域名,可以修改Scope中的記錄:如下將爬取baidu.com及其二級域名。
Burp Suite1.7.0以後對爬蟲進行了優化,默認值爬取目標網站,其他網站處於休眠狀態。這樣可以大大加快爬蟲速度,也避免了由於緩存過多造成Burp Suite卡頓或崩潰的情況。
需要註意的是,Burp的不適合於爬取大量html頁面的網站,比如:新聞站點。很容易卡死。
1.6 Scanner掃描
Burp的爬蟲功能和Scanner功能是相互獨立的,一般操作是先爬蟲,然後選中要主動掃面的站點或者指定數據包發送到掃描模塊。如果想要全面的掃描目標網站,你需要使用Activety scan this host
掃描的時候一般會去掉對圖片,css,js文件的掃描。
掃面開始後在Scanner中可以看到具體信息:
也許會有同學問,登錄爬蟲和掃描怎麽破。我只想說,你們問題真多,一看就沒好好學英文。Burp的好處就在於,如果你抓包的過程中有截獲過登錄的數據包,帶上了Cookie。那你就完全不用管登錄的事情了,Burp會帶入回話進行爬蟲和掃描。
1.7 插件擴展Extender
Bapp store中有許多擴展插件,可根據需要自行安裝。其實很多都不怎麽好用,為了讓你們當伸手黨,我也是操碎了心。強心裝逼將store中的插件都用了一遍。現在讓老師來教教你怎麽玩。Store就躺在這裏,快來看。
在安裝前最好先配置下Burp Suite的臨時文件和配置存放路徑,這樣以後軟件轉移會方便很多。
在插件中有兩類需要先配置使用環境,Jruby和jpython,下載地址分別如下:
jruby HTTPS://s3.amazonaws.com/jruby.o ... omplete-9.1.5.0.jar
jython http://www.jython.org/downloads.html
下載免安裝的.jar包就行了。配置很簡單,只需要在Extender->option中導入對應環境就好了。
需要說明的是:jruby,jpython並不是java的插件,而是ruby,python在java語言下的完全實現。換句話說:有人用java實現了ruby,python的編譯、運行。
默認情況下這些插件會被下載到:
C:\Users\echo【當前用戶目錄】\AppData\Roaming\Burp Suite\bapps。
下載後的插件在Extensions中會有顯示。為了菜單面板簡潔,你可以選擇性的加載。筆者在使用過程中還發現,如果插件加載過多可能導致軟件卡頓甚至崩潰的情況。這可能跟第三方開發者代碼能力也有關系。建議使用的時候別一次性加載所有的插件,根據需要加載。
有的時候插件安裝多了的時候會提示memory錯誤信息,可以使用如下命令增加內存啟動:java –jar –Xmx2048m /path/to/burp.jar
如果需要保存當前面板和各個配置項,可在Burp->User options中保存。
1.7.1 SQL註入插件
Sqlmap可能是大家使用較多的工具之一,配合抓包測試註入也是相當經典的用法。在使用之前建議先在系統環境變量中添加sqlmap,這樣你可以在命令行下的任意目錄啟動sqlmap.py。添加方法如圖。
查看當前環境變量還可以通過在命令行下執行:path 查看。
Sqlmap的插件現在有很多個版本,有的是調用sqlmap直接命令行下運行;有的則是基於sqlmapapi.py。先介紹前者,也是筆者更喜歡的一種。
1.7.2、Sqlmap.jar
附件中有個名為sqlmap.jar的插件包,手動導入到Burp Extensions中:
添加後菜單面板中會多出一個sqlmap的選項。我們可以在這裏輸入需要執行的sqlmap命令。支持多條命令,使用的時候會依次執行。
在抓取數據包後,選擇任意數據包:右鍵send to sqlmap即可。
註入的時候,一個提高手速的技巧就是,Sqlmap中“*”代表註入點。當把某個參數後面加上一個星號時,sqlmap將把它設為註入參數,與“-p”參數功能相同。
如果想要查看完整的當前數據包,可以根據命令行上測試語句的顯示找到:
C:\Users\echo\AppData\Local\Temp\\1477018275510.req
1.7.3、gason-0.9.6.jar
gason-0.9.6.jar相當於sqlmap.jar的gui版。太懶不喜歡敲命令的同學可以用這個。
使用時需要提前配置sqlmap.py的路徑。使用時,註入過程效果顯示不是很好。
1.7.4、CO2
CO2中包含好幾個插件,第一個就是SQL註入的。
除此之外還有些比較好用的,如:用戶字典生成:
基礎認證字典生成工具。
1.7.5 越權測試插件
Burp中有三個插件可用於越權測試,分別是:Autorize、Authz(水平越權測試)、AuthMatrix(垂直越權測試)。比較簡單。
插件部分的話,大家自行研究吧,沒什麽好講的,下載下來,加載上,要麽右鍵菜單使用,要麽主動掃描的時候自動加載。
學習累了?讓面碼帶你去找葫蘆娃談談人生(上述講到的東東都在面碼手裏,能找到嗎?)。圖片損壞了,直接給個包吧。
附件1.zip
(118.81 KB, 下載次數: 140)
Burp Suite滲透實戰操作指南-上篇