admin管理员组

文章数量:1532050

2024年5月10日发(作者:)

BurpSuite

工具使用小经验

作者:mickey[54mickey_at_]

一.使用代理做WEB渗透的好处

可以直观的看到客户端和WEB端的交互过程,比如下面的代码,如果是用浏览器直接查看,则不能看到"Thisissecret

area"这些字符。

$baseURL='';

Header("Location:$baseURL");

?>

ThisisSecretArea

也可以自定义一些HTTP头,比如有一次我做测试,通过定义User-Agent:为“Mozilla/5.0(compatible;Googlebot/2.1;

+/)”,然后再spider站点,就爬出了许多原来没有看到的内容。

二.实际WEB渗透测试时用到的

2.1使用burpsuite的intruder的"Sniper"扫目录和文件(替代Wfuzz和Dirbuster)

WEB黑盒测试前,我都会扫描下网站的备份文件,日志文件和管理页面。首先设置FireFox的代理,推荐使用

FoxyProxy插件来方便设置代理,然后浏览主站,当BurpSuite劫持到Request请求的时候,点击"Action"按钮,选择"Send

tointruder"

在"Intruder"标签下,"Attacktype"选择"Sniper",在GET后面的/添加$$,我这里因为是从根目录开始扫描的,所以

选择了/,如果你是从其他特定目录开始扫,则自己做好相应的路径配置。具体配置下过如下图所示

来到Payloads标签下,选择"PreSetList"载入字典文件,如果你的字典比较大,建议你选择"Runtimefile"方式来载入字

典,当然你也可以根据相应的选项来自己生成一个字典列表来跑,具体效果如下图所示:

然后就可以开始攻击了,可以根据HTTP的返回码来查看扫目录的结果,下图我用红色表示出来的就表示可以直接访

问的目录

扩展思路:

1.可以根据Apache的里相应配置,来列举LINUX账户,类似/~mickey

2.换一个思路,当使用一个低权限的用户登录后台后,利用burpsuite捕捉到的cookies来进一步扫目录,发现由于代码问

题,可以直接访问的管理员文件。

3.这里用来跑目录或者文件的字典,我通常选择的是Wfuzz和Dirbruter自带的字典

2.2使用burpsuite的intruder的"Sniper"跑HTTP基本认证

前几步的操作和前面一样,不同的是,需要在"Payloadprocessingrules"做下设置,因为HTTP基本认证是采用BASE64

编码的,所以我先添加一个规则,先来指定要跑的用户名,选择"addprefix",添加用户名,我这里的案例用户名是"test"

然后指定"Encode"为"Base64-encode"

都配置好的效果图如下:

开始攻击,如果成功,HTTP状态码通常会是200,效果如下图

判断攻击结果是否成功,最常见的就是看"status"列和"length"列,可以根据status或length列的不同,来判断成功与失

败。

2.3使用burpsuite的intruder的"Sniper"一些其他的用处

MYSQL4注入的时候猜表名或者字段名,如果语句里有空格,还需要注意使用编码,否则不会成功,也可以通过使

用不同的编码,来绕过简单的WAF,效果如下图所示:

还可以使用fuzzdb(/p/fuzzdb/)里的attack-payloads文件夹下的文件,配合burpsuite的intruder的

"Sniper",来进行XSS,blindsqlinj,lfi等测试,或者FUZZ一些其他的参数来发现漏洞。

2.4使用burpsuite的intruder的"ClusterBomb"来破解后台登陆口

原来我都是用GoldenEye来破解没有验证码的FORM表单后台登陆口,不过最近在PT007给我的一个后台,GoldenEye

失效了,后来还是用butpSuite搞定的,当然用"wvsfuzzer"也可以,原理都差不多,比较懒了,我少打字,您多看图吧。

2.5使用burpsuite来突破上传限制

这里我就不说了,Trace牛的“UploadShellwithBurpSuite”写的比较详细了,我已经打包放在同目录了,而上传的

种种绕过限制的方法,可以看CasperKid牛的“BypassUploadValidationFrameworkV0.9”

2.6使用skipfish配合burpsuite

root@mickey:/pentest/web/skipfish#./=192.168.195.131-otest_output

/

三.结束语

可以用burpSuite自己本身的Scanner功能可以用来做自动扫描,扫一些常见的漏洞(分主动扫描和被动扫描,需要调节

好线程数,以免程序假死),扫描完成后,还能生成出一份不错的报告,具体使用比较简单了。可以看看官方的说明文档

/burp/help/

手动测试方面,就是我上面列举的这些,替代NC,来绕过上传限制,或者使用intruder的"Sniper"来进行扫目录,跑

HTTP基本认证,FUZZ参数,用intruder的"ClusterBomb"来跑后台密码,当然每次的WEB黑盒的测试环境不同,

BurpSuite也要做相应的配置,比如URL编码,添加特殊的HTTP头等等。具体情况还给具体分析。文章写的比较简

单,就是起一个抛砖引玉的作用,欢迎喜欢渗透的朋友和我交流。

本文标签: 使用扫描目录文件配置

版权声明:本文标题:BurpSuite工具使用经验 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1715310060a445661.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。