BurpSutie拓展插件推荐-辅助测试插件

举报
Vista_AX 发表于 2023/07/21 08:46:22 2023/07/21
【摘要】 BurpSutie拓展插件推荐-辅助测试插件

01 chunked-coding-converter-0.4.0

(1)工具介绍


一键分块传输编码,实现文件上传,命令执行,sql注入等漏洞的WAF绕过功能。

使用过程中的体会是,遇到网站存在WAF拦截的场景可以试着尝试通过分块传输的思路去实现文件上传,命令执行,sql注入等漏洞的验证。

这类chunked 编码主要可以绕过网络层WAF,应用层WAF绕不过。因为chunked是分块传输,是在传输过程中做文章,可以绕过网络层WAF。但应用层WAF接收到的数据已经是经过Nginx、Apache这类应用程序组包过的了,能看到完整的Payload进行检测。

个别情况能绕过应用层WAF,但都是WAF自身设计缺陷,比如应用层WAF认只Content-length。有些WAF看到Content-length=0,以为是没有数据的,就直接放行了,于是造成了绕过。

(2)下载地址


https://github.com/zxl2605/chunked-coding-converter

(3)使用说明

先说明chunked 编码绕过的原理,以如下数据包为例:

POST /1.php HTTP/1.1 
Host: x
Content-Type: application/x-www-form-urlencoded
Transfer-Encoding: chunked
5
a=111 
8
and sel
7 0
ect 1 f
0

攻击者利用上述的编码方式,将 select 危险关键字拆分,就可以在一定程度上绕过 WAF 查杀。

其中,倒数第三行的 7 0 是 chunked 编码中对于传递行的一种注释写法,这里的空白字符实际上是\t,根据 RFC,合法的注释符有;和\t 两个。后面的 0 可以替换为 0x00 等,造成部分WAF 解析失败。这里再对参数进行图示说明,如下图所示:

image.png


安装插件后,当我们遇到存在WAF的站点时,可以鼠标右键选择“chunked-coding-converter插件”,尝试使用chunked编码方式绕过WAF。

image.png




02 captcha-killer

(1)工具介绍


一款用于图片验证码识别,实现图片验证码绕过的burp插件。

使用过程中的体会是,但遇到较为简单的图片验证码时可以进行尝试使用,captcha-killer本身无法识别验证码,它主要是调用各种验证码识别接口来进行验证码的识别并自动传参至数据包指定参数中。

(2)下载地址


BurpSuite 2020及以上版本 https://github.com/Ta0ing/captcha-killer-java8

BurpSuite 2020先前版本 https://github.com/c0ny1/captcha-killer

该插件之所以会存在2个版本主要是因为,BurpSutie高版本Java版本环境下的不兼容性,以下为作者的说明。

image.png

(3)使用说明


在BurpSuite的Extender模块中加载下载的captcha-killer.jar文件

image.png


使用burp抓取获取验证码数据包,然后右键captcha-killer -> send to captcha panel发送数据包到插件的验证码请求面板。

image.png


然后到切换到插件面板,点击获取即可拿到要识别的验证码图片内容。

image.png


可以成功获取到验证码之后,就要设置接口来进行识别了,这里以需要收费的图鉴OCR识别软件举例。

注册地址:http://www.ttshitu.com/
接口 URL:http://api.ttshitu.com:80
请求包里的username,password处值为http://ttshitu.com注册账号信息

image.png

上述步骤完成后,点击识别即可识别出验证码,可以开始进行带有验证码的账号爆破了。

首先在登录接口输入账号密码验证码抓取请求包,发送到intruder模块,使用pitchfork攻击类型,设置密码和验证码为变量,如下图所示:

image.png


上述参数设置正确后,即可进行爆破。

image.png




03 fakeIP

(1)工具介绍


fakeIP可以用于非常便捷的新增各个伪造ip的header头。用来进行伪造指定IP、本地IP、随机IP并且可以进行IP爆破的用途。

使用过程中的体会是,在短信轰炸等高并发测试中可以作为绕过服务器校验的一种尝试。

(2)下载地址


https://github.com/TheKingOfDuck/burpFakeIP

(3)使用说明


在BurpSuite的Extender模块中加载下载的fakeIP文件

image.png

主要可以使用fakeIP进行伪造指定ip、伪造本地ip、伪造随机ip、随机ip爆破。

伪造指定IP:在Repeater模块右键选择fakeIp菜单,然后点击inputIP功能,然后输入指定的IP
image.png
image.png

伪造本地IP:在Repeater模块右键选择fakeIp菜单,然后点击127.0.0.1功能.

image.png


伪造随机IP :在Repeater模块右键选择fakeIp菜单,然后点击randomIP功能。

image.png


随机IP爆破:将数据包发送到Intruder模块,在Positions中切换Attack type为Pitchfork模式,选择好有效的伪造字段,以及需要爆破的字段。

image.png

按照箭头顺序将Payload来源设置为Extensin-generated,并设置负载伪fakeIpPayloads,然后设置第二个变量。

image.png
image.png

image.png

04 Autorize

(1)工具介绍


Autorize 是一个旨在帮助渗透测试人员检测授权漏洞的扩展,这是 Web 应用程序渗透测试中比较耗时的任务之一。

使用过程中的体会是,若渗透测试过程中具备系统的高低权限账号,可以在测试开始前使用该插件进行水平越权漏洞以及垂直越权漏洞辅助测试,可以大大节约越权漏洞的测试时间并且提高测试的准确性。并且借助此插件也能发现一些未授权访问的功能点。

(2)下载地址


https://github.com/portswigger/autorize

(3)使用说明


autorize插件配置环境是jython,为确保能正常使用我们先要在Burp安装jython环境,然后从BApp Store 安装 Autorize。


jython配置环境(下载地址https://www.jython.org/download.html,下载jython Standalone版本)

image.png


打开 burp -> Extender -> Options -> Python Environment -> Select File -> 选择 Jython standalone JAR,安装配置环境

image.png


接着在Burp的bappstone中下载autorize插件后,既可以进行Autorize的使用

image.png


使用方法也较为简单,点击 fetch cookies header,会从最近一次请求历史中提取cookie,一般这里会获取低权限账号Cookie。然后我们正常使用一个高权限的账户去点击页面功能,Authorize会自动在后台使用低权限Cookie也进行数据包请求,一段时间后我们可以根据模块内的颜色信息大概进行越权以及未授权功能的判断。

image.png


接下来以垂直越权为例,我们先把pikachu靶场账户的cookie信息复制到autorize中

image.png


然后登录admin用户,点击autorize is off打开该插件(autorize is on为开启状态),然后在点击所有可以点击的接口,关闭autorize,我们得到的结果如下图所示,首先看颜色 红色存在越权,黄色代表不确定,绿色代表ok。左边一列 红色代表存在越权可能;右边一列 红色代表存在未授权访问可能;

image.png


其中modified response指更改过cookie后的响应,original response指的是原始cookie的响应,最后通过对比回显来判断是否存在越权漏洞

image.png

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。