admin管理员组文章数量:1532050
2024年5月10日发(作者:)
BurpSuite
工具使用小经验
作者:mickey[54mickey_at_]
一.使用代理做WEB渗透的好处
可以直观的看到客户端和WEB端的交互过程,比如下面的代码,如果是用浏览器直接查看,则不能看到"Thisissecret
area"这些字符。
$baseURL='';
Header("Location:$baseURL");
?>
ThisisSecretArea
也可以自定义一些HTTP头,比如有一次我做测试,通过定义User-Agent:为“Mozilla/5.0(compatible;Googlebot/2.1;
+/)”,然后再spider站点,就爬出了许多原来没有看到的内容。
二.实际WEB渗透测试时用到的
2.1使用burpsuite的intruder的"Sniper"扫目录和文件(替代Wfuzz和Dirbuster)
WEB黑盒测试前,我都会扫描下网站的备份文件,日志文件和管理页面。首先设置FireFox的代理,推荐使用
FoxyProxy插件来方便设置代理,然后浏览主站,当BurpSuite劫持到Request请求的时候,点击"Action"按钮,选择"Send
tointruder"
在"Intruder"标签下,"Attacktype"选择"Sniper",在GET后面的/添加$$,我这里因为是从根目录开始扫描的,所以
选择了/,如果你是从其他特定目录开始扫,则自己做好相应的路径配置。具体配置下过如下图所示
来到Payloads标签下,选择"PreSetList"载入字典文件,如果你的字典比较大,建议你选择"Runtimefile"方式来载入字
典,当然你也可以根据相应的选项来自己生成一个字典列表来跑,具体效果如下图所示:
然后就可以开始攻击了,可以根据HTTP的返回码来查看扫目录的结果,下图我用红色表示出来的就表示可以直接访
问的目录
扩展思路:
1.可以根据Apache的里相应配置,来列举LINUX账户,类似/~mickey
2.换一个思路,当使用一个低权限的用户登录后台后,利用burpsuite捕捉到的cookies来进一步扫目录,发现由于代码问
题,可以直接访问的管理员文件。
3.这里用来跑目录或者文件的字典,我通常选择的是Wfuzz和Dirbruter自带的字典
2.2使用burpsuite的intruder的"Sniper"跑HTTP基本认证
前几步的操作和前面一样,不同的是,需要在"Payloadprocessingrules"做下设置,因为HTTP基本认证是采用BASE64
编码的,所以我先添加一个规则,先来指定要跑的用户名,选择"addprefix",添加用户名,我这里的案例用户名是"test"
然后指定"Encode"为"Base64-encode"
都配置好的效果图如下:
开始攻击,如果成功,HTTP状态码通常会是200,效果如下图
判断攻击结果是否成功,最常见的就是看"status"列和"length"列,可以根据status或length列的不同,来判断成功与失
败。
2.3使用burpsuite的intruder的"Sniper"一些其他的用处
MYSQL4注入的时候猜表名或者字段名,如果语句里有空格,还需要注意使用编码,否则不会成功,也可以通过使
用不同的编码,来绕过简单的WAF,效果如下图所示:
还可以使用fuzzdb(/p/fuzzdb/)里的attack-payloads文件夹下的文件,配合burpsuite的intruder的
"Sniper",来进行XSS,blindsqlinj,lfi等测试,或者FUZZ一些其他的参数来发现漏洞。
2.4使用burpsuite的intruder的"ClusterBomb"来破解后台登陆口
原来我都是用GoldenEye来破解没有验证码的FORM表单后台登陆口,不过最近在PT007给我的一个后台,GoldenEye
失效了,后来还是用butpSuite搞定的,当然用"wvsfuzzer"也可以,原理都差不多,比较懒了,我少打字,您多看图吧。
2.5使用burpsuite来突破上传限制
这里我就不说了,Trace牛的“UploadShellwithBurpSuite”写的比较详细了,我已经打包放在同目录了,而上传的
种种绕过限制的方法,可以看CasperKid牛的“BypassUploadValidationFrameworkV0.9”
2.6使用skipfish配合burpsuite
root@mickey:/pentest/web/skipfish#./=192.168.195.131-otest_output
/
三.结束语
可以用burpSuite自己本身的Scanner功能可以用来做自动扫描,扫一些常见的漏洞(分主动扫描和被动扫描,需要调节
好线程数,以免程序假死),扫描完成后,还能生成出一份不错的报告,具体使用比较简单了。可以看看官方的说明文档
/burp/help/
手动测试方面,就是我上面列举的这些,替代NC,来绕过上传限制,或者使用intruder的"Sniper"来进行扫目录,跑
HTTP基本认证,FUZZ参数,用intruder的"ClusterBomb"来跑后台密码,当然每次的WEB黑盒的测试环境不同,
BurpSuite也要做相应的配置,比如URL编码,添加特殊的HTTP头等等。具体情况还给具体分析。文章写的比较简
单,就是起一个抛砖引玉的作用,欢迎喜欢渗透的朋友和我交流。
版权声明:本文标题:BurpSuite工具使用经验 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1715310060a445661.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论