burp 日志插件从原理到实践

本文作者:(首次投稿)

Logger++ 是 nccgroup 开源的一个 burp 扩展,主要功能是记录经过 Burp Suite 的所有 HTTP 请求 和 HTTP 响应。

相较于 Burp 自带的 Proxy 组件中的 HTTP History, logger++ 的优势是记录了更完整的流量,并且支持对这些流量进行基于正则表达式的简易分析,对相关流量记录进行着色展示,将流量导入到 elasticsearch 平台等。Burp 基本组件 Proxy 中的 HTTP History 则只记录经过代理的 HTTP 流量,对于 Repeater, Scanner, Intruder 等组件的流量,并不会在它的标签中展示。

对于笔者而言,常用的功能主要有两个:

1、基于正则表达式的简易 HTTP 流量分析

2、记录流量日志 (导出 csv 便于后续代码分析)

代码简要分析

https://github.com/nccgroup/BurpSuiteLoggerPlusPlus/blob/master/src/main/java/burp/BurpExtender.java

从入口 src/main/java/burp/BurpExtender.java 开始看,一开始只是继承 loggerplusplus.LoggerPlusPlus 类。

package burp;
import loggerplusplus.LoggerPlusPlus;

public class BurpExtender extends LoggerPlusPlus{  public static void main(String [] args){    System.out.println("You have built the Logger++. You shall play with the jar file now!");  }}

切换到 src/main/java/loggerplusplus/LoggerPlusPlus.java与记录 HTTP 日志有关的语句是 logManager = new LogManager(loggerPreferences);

    @Override    public void registerExtenderCallbacks(final IBurpExtenderCallbacks callbacks){        //Burp Specific        LoggerPlusPlus.callbacks = callbacks;        LoggerPlusPlus.instance = this;        LoggerPlusPlus.contextMenuFactory = new LoggerContextMenuFactory();
        callbacks.setExtensionName("Logger++");
        filterListeners = new ArrayList<>();        loggerPreferences = new LoggerPreferences(LoggerPlusPlus.this);        logManager = new LogManager(loggerPreferences);        elasticSearchLogger = new ElasticSearchLogger(logManager, loggerPreferences);
        if(!callbacks.isExtensionBapp() && loggerPreferences.checkUpdatesOnStartup()){            MoreHelp.checkForUpdate(false);        }
        buildUI();    }

继续跟踪到 src/main/java/loggerplusplus/LogManager.java

基本思路就是继承和实现 Burp 提供的 IHttpListener 接口 和 IProxyListener 接口,重写 processHttpMessageprocessProxyMessage 方法,存储流经的 HTTP 流量。还有一些对 HTTP 请求/响应 的处理细节可以在 src/main/java/loggerplusplus/LogEntry.java 中的 processRequestprocessResponse 中找到。(其实大部分情况下 Burp 自带的 LoggerPlusPlus.getCallbacks().getHelpers().analyzeRequest(requestResponse) 已经帮我们把需要的字段解析完成了。)

关键代码如下:

    @Override    public void processHttpMessage(final int toolFlag, final boolean messageIsRequest, final IHttpRequestResponse requestResponse) {        // Only process scanner messages which contain the request and response.        if(!messageIsRequest) {            final LogEntry logEntry = new LogEntry();            processHttpMessage(logEntry, toolFlag, requestResponse);        }    }
    // Wrapper to allow a custom LogEntry to be passed as a parameter    // Custom LogEntry used when importing proxy history.    // messageIsRequest is removed as not needed.    public void processHttpMessage(final LogEntry logEntry, final int toolFlag, final IHttpRequestResponse requestResponse){        executorService.submit(new Runnable() {            @Override            public void run() {                if(toolFlag != IBurpExtenderCallbacks.TOOL_PROXY || logEntry.isImported){                    if(requestResponse == null || !prefs.isEnabled()) return;                                        IRequestInfo analyzedReq = LoggerPlusPlus.getCallbacks().getHelpers().analyzeRequest(requestResponse);                    URL uUrl = analyzedReq.getUrl();                                        if (isValidTool(toolFlag) && (!prefs.isRestrictedToScope() || LoggerPlusPlus.getCallbacks().isInScope(uUrl))){                        // We will not need to change messageInfo so save to temp file                        IHttpRequestResponse savedReqResp = LoggerPlusPlus.getCallbacks().saveBuffersToTempFiles(requestResponse);                        logEntry.processRequest(toolFlag, savedReqResp, uUrl, analyzedReq, null);                        if(requestResponse.getResponse() != null) logEntry.processResponse(savedReqResp);                        // Check entry against colorfilters.                        for (ColorFilter colorFilter : prefs.getColorFilters().values()) {                            logEntry.testColorFilter(colorFilter, false);                        }
                        addNewRequest(logEntry, true); // Complete Request and Response Added                        for (LogEntryListener logEntryListener : logEntryListeners) {                            logEntryListener.onResponseUpdated(logEntry);                        }                    }                }            }        });    }
    @Override    public void processProxyMessage(final boolean messageIsRequest, final IInterceptedProxyMessage proxyMessage) {        //REQUEST AND RESPONSE SEPARATE        final LogEntry.PendingRequestEntry logEntry;        if(messageIsRequest){            logEntry = new LogEntry.PendingRequestEntry();        }else{            synchronized (pendingRequests) {                logEntry = pendingRequests.remove(proxyMessage.getMessageReference());            }        }        executorService.submit(new Runnable() {            @Override            public void run() {                if(proxyMessage == null || !prefs.isEnabled()) return;                IHttpRequestResponse requestResponse = proxyMessage.getMessageInfo();                IRequestInfo analyzedReq = LoggerPlusPlus.getCallbacks().getHelpers().analyzeRequest(requestResponse);                URL uUrl = analyzedReq.getUrl();                int toolFlag = LoggerPlusPlus.getCallbacks().TOOL_PROXY;                if (isValidTool(toolFlag) && (!prefs.isRestrictedToScope() || LoggerPlusPlus.getCallbacks().isInScope(uUrl))){                    if(messageIsRequest){                        //New Proxy Request                        //We need to change messageInfo when we get a response so do not save to buffers                        logEntry.processRequest(toolFlag, requestResponse, uUrl, analyzedReq, proxyMessage);                        for (ColorFilter colorFilter : prefs.getColorFilters().values()) {                            logEntry.testColorFilter(colorFilter, false);                        }                        synchronized (pendingRequests) {                            pendingRequests.put(proxyMessage.getMessageReference(), logEntry);                        }                        addNewRequest(logEntry, false); // Request added without response                    }else{                        // Existing Proxy Request, update existing                        if (logEntry != null) {                            updatePendingRequest(logEntry, requestResponse);                        } else {                            lateResponses++;                            if(totalRequests > 100 && ((float)lateResponses)/totalRequests > 0.17){                                MoreHelp.showWarningMessage(lateResponses + " responses have been delivered after the Logger++ timeout. Consider increasing this value.");                                //Reset late responses to prevent message being displayed again so soon.                                lateResponses = 0;                            }                        }                    }                }            }        });    }

功能说明

主界面

先看下 Logger++ 的基本界面,其实和 Proxy 中的 HTTP History 基本一致,稍微新增了一些字段。

正常经过代理的流量 Tool 字段都是 Proxy;Repeater, Intruder 等工具发出的请求也会进行记录。

如果 Tool 为 Scanner 是 Burp 自带的扫描器发送的请求;Tool 为 Extender 是其他 Burp 插件发送的请求。在这个场景插件发出的请求都是来自 Active Scan++,利用这个特性你可以使用 Logger++ 以 "黑盒" 的方式分析 Burp 一些的扫描能力增强插件的原理 / payload

Proxy / Repeater / Intruder 案例:

Scanner / Extender 案例:

记录上图时的插件情况

基于正则表达式的简易流量分析

过滤器也是 Logger++ 中一个很方便的功能。笔者通常会使用这个功能,来寻找一些敏感信息泄露和潜在的漏洞请求(这里提供的规则并不是 100% 能确定漏洞的,只是作为一个辅助手段,还需要进一步手工验证)。在该工具的 Filter Library 里也有几个不错的过滤器示例可以参考。

关于过滤器支持的其他字段可以在 Logger++ 的项目 wiki 里查到,链接如下

https://github.com/nccgroup/BurpSuiteLoggerPlusPlus/wiki/Filter-Fields

这里提供一些过滤器的示例作为抛砖引玉

信息泄露 (内网 IP) 规则 #1

Internal IP Address

RESPONSE == /(10(\.(25[0-5]|2[0-4][0-9]|1[0-9]{1,2}|[0-9]{1,2})){3}|((172\.(1[6-9]|2[0-9]|3[01]))|192\.168)(\.(25[0-5]|2[0-4][0-9]|1[0-9]{1,2}|[0-9]{1,2})){2})/

如果你需要确定具体匹配的值,可以在 Message Editor 里用正则表达式搜索。

也可以使用 Grep Values 标签来汇总所有请求中符合过滤器筛选内容的字符串值。

如果要新增自定义过滤器,只要点击 Saved Filters, 然后点击 Add Filter 即可,另外在 Options 选项卡中可以批量导入/导出过滤器设置。

信息泄露 (身份证号) #2

RESPONSE == /((\d{6})(18|19|20)?(\d{2})([01]\d)([0123]\d)(\d{3})(\d|X))/

信息泄露 (电子邮件) #3

匹配所有邮箱

RESPONSE == /(([A-Za-z0-9_\-\.])+\@([A-Za-z0-9_\-\.])+\.([A-Za-z]{2,4}))/

匹配特定邮箱

RESPONSE == /(([A-Za-z0-9_\-\.])+\@test.com)/

模糊关键字匹配邮箱

RESPONSE == /(([A-Za-z0-9_\-\.])+\@(.*)test(.*))/

对结果进行去重

潜在的 CORS 配置不当 #4

RESPONSEHEADERS == /Access-Control-Allow-Origin: null/

RESPONSEHEADERS == /Access-Control-Allow-Origin: \*/

寻找潜在的 SSRF / 开放重定向 #5

开放重定向

根据响应头

ResponseHeaders == /(Location)/

根据参数名称

QUERY == /(url(.*)=)/ || REQUEST == /(url(.*)=)/ QUERY == /(uri(.*)=)/ || REQUEST == /(uri(.*)=)/ QUERY == /(path(.*)=)/ || REQUEST == /(path(.*)=)/ QUERY == /(href(.*)=)/ || REQUEST == /(href(.*)=)/ QUERY == /(redirect(.*)=)/ || REQUEST == /(redirect(.*)=)/

寻找参数中的图片

QUERY == /(img(.*)=)/ || REQUEST == /(img(.*)=)/ QUERY == /(pic(.*)=)/ || REQUEST == /(pic(.*)=)/ QUERY == /(\.png)/ || REQUEST == /(\.png)/ QUERY == /(\.jpg)/ || REQUEST == /(\.jpg)/ QUERY == /(\.gif)/ || REQUEST == /(\.gif)/

寻找潜在的 JSONP 调用 #6

基于参数

REQUEST == /(callback(.*)=)/ || QUERY == /(callback(.*)=)/

基于响应特征

RESPONSE == /(.+\(\[(.*)\]\))/ && RESPONSEHEADERS == /application\/json/

寻找潜在的越权漏洞 #7

REQUEST == /(id(.*)=)/ || QUERY == /(id(.*)=)/

着色过滤器 (color filter)

举一个 内网 IP 泄露检测规则 和 身份证号检测规则 配置的例子

Logger++ => View Logs => Colorize

着色过滤器配置也可以在 Options 中配置批量导入/导出。

着色效果如下

记录流量日志

Logger++ => Options => Export => Save log table as csv.

结语

充分利用 Logger++ 插件的过滤器,能帮助你在海量 HTTP 请求中更方便快捷地定位到某些脆弱的 HTTP 请求。如果你有其他不错的过滤器规则,也欢迎在下面留言。

参考资料

BurpSuiteLoggerPlusPlus Wiki

https://github.com/nccgroup/BurpSuiteLoggerPlusPlus/wiki

Logger++ 示例过滤器

https://github.com/nccgroup/BurpSuiteLoggerPlusPlus/wiki/Example-Filters

Burp Suite 存储日志分析

https://zhuanlan.zhihu.com/p/28284124

Burp Suite神器的日志存储

https://zhuanlan.zhihu.com/p/28231222

经验分享 Burpsuite 插件的使用

https://cloud.tencent.com/developer/article/1015187

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2019-04-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券