Burpsuite插件开发

一、Burp插件介绍和编程语言选择

插件是什么?

扩展burp功能的程序,依赖burp提供的API,让使用者可以开发一些自己想要的功能。

插件可以干什么?

请求和响应包的修改:比如在每个请求包中加如自定义的header

自定义UI界面:插件可以实现一个自己的tab,方便图像化操作

自定义扫描插件:当出现了新的漏洞,我们就可以编写自己的扫描插件,来自动化发现这类漏洞

访问burp中的一些关键数据:比如proxy中的请求记录、sitemap中请求响应、扫描发现的漏洞(issue

插件怎么使用?

先讲burp插件的基本使用:加载安装、卸载、排序

插件的加载,可以从burp官方的BApp Store中进行加载安装

Burpsuite插件开发_第1张图片

 

也可加载一些外部插件。

Burpsuite插件开发_第2张图片

 

加载后burp才会起作用,可以通过点击这个选择框来启用或禁用插件。

Burpsuite插件开发_第3张图片

 

值得注意的是:图形界面中的顺序,就是插件被调用的顺序!我们可以通过 UpDown来调整插件的顺序。

当多个插件有相同的操作时,比如修改请求数据包,插件的顺序就可能影响最后的请求数据包的内容。

插件怎么开发?

这是我们这个系列课程的核心主题,后续的章节就是围绕这个主题进行的。

编程语言的选择

burp suite支持三种编程语言开发的插件:

  • Java
  • python
  • ruby

我们选择Java,为什么选择Java?原因有三:

1、兼容性

之前也用python写过几个简单插件。遇到过一种情况,当需要调用的外部类包含遇到pyd文件就无法进行下去了,因为pydC写的,Jython是无法使用C写的模块的。burp本身是Java写的,使用Java去开发插件兼容性最高,会少很多莫名其妙的错误。

Burpsuite插件开发_第4张图片

Burpsuite插件开发_第5张图片

 

 

下面这个链接对此有详细说明:python - Using .pyd library in Jython - Stack Overflow

2、调试

当使用python写插件进行调试时,只能尽量通过输出去获取信息,没有好的办法进行下断点动态调试。而Java 则可以,对于复杂逻辑的插件,Java编写的更容易排查问题。

3、打包

burp写的插件可以打包成一个独立的Jar包,方便移动和传播,环境配置也更简单。

综上,Java是写burp插件的最佳的选择。

二、开发环境准备和Hello World

环境搭建

JDK安装

Oracle官网可以找到各种版本JDK下载地址 ,我们选择JDK8,并且将java.exe所在目录加入系统环境变量。

IDEA Eclipse

推荐使用IDEA,它的调试功能比较好用。

maven

Maven – Download Apache Maven

Burpsuite插件开发_第6张图片

 

下载后解压,然后将mvn.cmd所在目录加入环境变量即可。

国际惯例hello world

https://github.com/PortSwigger/example-hello-world/blob/master/java/BurpExtender.java

依赖包的管理

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    4.0.0

    com.bit4woo.burp

    domain_hunter

    1.4

   

        src

       

           

                maven-compiler-plugin

                3.7.0

                

                    1.8

                    1.8

               

           

           

                maven-assembly-plugin

                

                   

                        jar-with-dependencies

                   

                   

                       

                            

                                true

                           

                       

                   

                

               

                   

                        make-assembly

                        package

                       

                            single

                       

                   

               

           

       

   

   

       

       

            net.portswigger.burp.extender

            burp-extender-api

            1.7.22

       

       

       

            com.google.code.gson

            gson

            2.8.6

       

       

       

            com.google.guava

            guava

            29.0-jre

       

       

       

            org.apache.commons

            commons-text

            1.6

       

       

       

            org.beanshell

            bsh

            2.0b5

       

   

插件程序的规范

package burp;

import java.io.PrintWriter;

public class BurpExtender implements IBurpExtender

{

    @Override

    public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks)

    {

        // 设置插件的名称

        callbacks.setExtensionName("Hello world extension");

       

        // 获取burp提供的标准输出流和错误输出流

        PrintWriter stdout = new PrintWriter(callbacks.getStdout(), true);

        PrintWriter stderr = new PrintWriter(callbacks.getStderr(), true);

       

        // 打印到标准输出流

        stdout.println("Hello output");

       

        // 答应到错误输出流

        stderr.println("Hello errors");

       

        // 写一个报警信息到burp的报警面板

        callbacks.issueAlert("Hello alerts");

       

        // 抛出一个异常,将会在错误输出流中显示

        throw new RuntimeException("Hello exceptions");

    }

}

  • 所有的burp插件都必须实现IBurpExtender这个接口
  • 实现类的包名称必须是burp
  • 实现类的名称必须是BurpExtender
  • 实现类比较是public的
  • 实现类必须有默认构造函数(public,无参),如果没有定义构造函数就是默认构造函数

callbacks对象的作用

通过 callbacks 这个实例对象,传递给插件一系列burp的原生方法。我们需要实现的很多功能都需要调用这些方法。

三、动态调试方法

IDEA的配置

Burpsuite插件开发_第7张图片

 

Burpsuite插件开发_第8张图片

 

 

burp端的启动参数

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar burpsuite_pro_v2020.2.1.jar

pause

破解版burp的调试方法

国内我们用的burp版本大家都懂的,一般都是破解版(使用Keygen或者helper的都有),如果要使用破解版进行调试,可以使用如下命令行参数启动burp,然后运行burpJVM将处于监听状态,5005端口。

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -Xbootclasspath/p:burp-loader-keygen-70yeartime-BurpPro.jar -jar burpsuite_pro_v1.7.37.jar

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -Xbootclasspath/p:BurpHelper2019.jar -jar burpsuite_pro_v1.7.37.jar

这个命令和正版不同的地方就是需要加 Xbootclasspath/p: 这一段,可以保存个bat,方便一键启动。

使用logger++分析数据包帮助调试

如果是写扫描插件、或者其他需要修改请求响应包的插件,我们可以使用logger++来帮助我们查看修改后的请求响应包。

Burpsuite插件开发_第9张图片

 

使用burplog功能帮助分析数据包

由于logger++有时会出问题,这里再推荐一种替代方案,就是通过burplog功能,来帮助查看数据包。

Burpsuite插件开发_第10张图片

 

四、学习思路和核心逻辑

向官方文档和API学习

官方教学文档和API文档一定是最权威的,如果有问题,首先找官方文档。

官方各种示例代码:Burp Suite Extensibility - PortSwigger

官方API文档:Generated Documentation (Untitled)

比如选择有一个需求,要获取请求包的某个header的值,但是不知道怎么做,那么我们可以尝试在API中找关键词:

Burpsuite插件开发_第11张图片

 

向已有的优秀插件学习

可以找BApp Store上的类似功能的插件,查看他们的源码,学习作者的实现思路。

Burpsuite插件开发_第12张图片

 

如果是非官方的BApp Store的项目,还可以直接反编译它的Jar包,查看其代码,JD-GUI了解一下

burp中的核心对象

burp中最为核心的对象就是HTTP数据包,我们的所有操作、各种API接口都是围绕HTTP数据包展开的。

Burpsuite插件开发_第13张图片

 

Burpsuite插件开发_第14张图片

 

 

插件的调用逻辑

Burpsuite插件开发_第15张图片

 

HttpListener为例说明一下【burp主程序】和【burp插件程序】之间的调用关系。

第一步:burp插件被加载时,【burp主程序】就会去调用BurpExtender类中的registerExtenderCallbacks方法。【burp插件程序】就是通过这个方法,在其中注册HttpListener,其目的就是告诉【burp主程序】当前HttpListener对象的存在。类似地,Factory等其他需要由burp主程序主动调用或通知的对象,也需要在这个函数中完成注册。

第二步:当【burp主程序】的某个组件产生了一个请求或者响应包(比如Proxy收到了一个来自浏览的请求,Scanner主动发起了一个扫描请求,Scanner收到了扫描请求的响应包等等)都会主动通知各个已知HttpListener对象。类似地,Factory等其他对象,也会在不同的场景下被通知或者别调用,比如ExtensionStateListener,会在burp插件取消加载的时候被通知。

第三步:【burp插件程序】中的HttpListener对象在收到通知信息后,执行自己特定的逻辑(processHttpMessage函数中),进行数据包的修改或者分析。类似地,其他对象也都有实现自己逻辑的函数。

需要主动注册的对象

他们的共通特定是:会被burp主程序主动调用或者主动通知,burp主程序必须知道它们的存在,才能完成对应的功能。

各种事件监听器

ExtensionStateListener

HttpListener

ProxyListener

ScannerListener

ScopeChangeListener

各种对象构造工厂

ContextMenuFactory

MessageEditorTabFactory

IntruderPayloadGeneratorFactory

其他

ScannerInsertionPointProvider

ScannerCheck

IntruderPayloadProcessor

SessionHandlingAction

MenuItem

演示代码

https://github.com/PortSwigger/example-event-listeners/blob/master/java/BurpExtender.java

五、HTTP数据包的处理

常用HTTP信息处理方法

根据自己编写插件的需求,将常用的操作数据包的方法归集整理在了一个类当中,可以访问参考。

https://github.com/bit4woo/burp-api-common/blob/master/src/main/java/burp/HelperPlus.java

一段完整的示例代码

操作无非增删查改四种,下面这都代码对常用操作均进行了演示

请求包:

  • ​ header 的获取、删除、新增、修改
  • ​ body 的获取、修改
  • ​ parameter 的获取、删除、新增、修改
  • ​ 发送一个新的请求

响应包:

  • ​ header 的获取、删除、新增、修改
  • ​ body 的获取、修改

httpService:

  • ​ host、port、protocol 的获取、修改

完整源码地址:https://github.com/bit4woo/burp-api-drops/blob/master/src/burp/Lession5.java

package burp;

import java.io.PrintWriter;

import java.util.Arrays;

import java.util.List;

public class BurpExtender implements IBurpExtender, IHttpListener

{//所有burp插件都必须实现IBurpExtender接口,而且实现的类必须叫做BurpExtender

        private IBurpExtenderCallbacks callbacks;

        private IExtensionHelpers helpers;

        private PrintWriter stdout;

        private PrintWriter stderr;

        private String ExtenderName = "burp extender api drops by bit4woo";

        @Override

        public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks)

        {//IBurpExtender必须实现的方法

                 stdout = new PrintWriter(callbacks.getStdout(), true);

                 stderr = new PrintWriter(callbacks.getStderr(), true);

                 callbacks.printOutput(ExtenderName);

                 //stdout.println(ExtenderName);

                 this.callbacks = callbacks;

                 helpers = callbacks.getHelpers();

                 callbacks.setExtensionName(ExtenderName);

                 callbacks.registerHttpListener(this); //如果没有注册,下面的processHttpMessage方法是不会生效的。处理请求和响应包的插件,这个应该是必要的

        }

        @Override

        public void processHttpMessage(int toolFlag,boolean messageIsRequest,IHttpRequestResponse messageInfo)

        {

                 if (toolFlag == IBurpExtenderCallbacks.TOOL_PROXY){

                         //不同的toolFlag代表了不同的burp组件 https://portswigger.net/burp/extender/api/constant-values.html#burp.IBurpExtenderCallbacks

                         if (messageIsRequest){ //对请求包进行处理

                                 IRequestInfo analyzeRequest = helpers.analyzeRequest(messageInfo);

                                 //对消息体进行解析,messageInfo是整个HTTP请求和响应消息体的总和,各种HTTP相关信息的获取都来自于它,HTTP流量的修改都是围绕它进行的。

                                

                                 /*****************获取参数**********************/

                                 List paraList = analyzeRequest.getParameters();

                                 //获取参数的方法

                                 //bodyjson格式的时候,这个方法也可以正常获取到键值对;但是PARAM_JSON等格式不能通过updateParameter方法来更新。

                                 //如果在url中的参数的值是 key=json格式的字符串 这种形式的时候,getParameters应该是无法获取到最底层的键值对的。

                                 for (IParameter para : paraList){// 循环获取参数,判断类型,进行加密处理后,再构造新的参数,合并到新的请求包中。

                                          String key = para.getName(); //获取参数的名称

                                          String value = para.getValue(); //获取参数的值

                                          int type = para.getType();

                                          stdout.println("参数 key value type: "+key+" "+value+" "+type);

                                 }

                                

                                 /*****************修改并更新参数**********************/

                                 IParameter newPara = helpers.buildParameter("testKey", "testValue", IParameter.PARAM_BODY); //构造新的参数

                                 byte[] new_Request = messageInfo.getRequest();

                                 new_Request = helpers.updateParameter(new_Request, newPara); //构造新的请求包

                                 messageInfo.setRequest(new_Request);//设置最终新的请求包

                                

                                 /*****************删除参数**********************/

                                 for (IParameter para : paraList){// 循环获取参数,判断类型,进行加密处理后,再构造新的参数,合并到新的请求包中。

                                          String key = para.getName(); //获取参数的名称

                                          if (key.equals("aaa")) {

                                                  new_Request = helpers.removeParameter(new_Request, para); //构造新的请求包

                                          }

                                 }

                                

                                 /*****************获取header**********************/

                                 List headers = analyzeRequest.getHeaders();

                                 for (String header : headers){// 循环获取参数,判断类型,进行加密处理后,再构造新的参数,合并到新的请求包中。

                                         stdout.println("header "+header);

                                          if (header.startsWith("referer")) {

                                 /*****************删除header**********************/

                                                  headers.remove(header);

                                          }

                                 }

                                

                                 /*****************新增header**********************/

                                 headers.add("myheader: balalbala");

                                

                                

                                 /*****************获取body 方法一**********************/

                                 int bodyOffset = analyzeRequest.getBodyOffset();

                                 byte[] byte_Request = messageInfo.getRequest();

                                

                                 String request = new String(byte_Request); //byte[] to String

                                 String body = request.substring(bodyOffset);

                                 byte[] byte_body = body.getBytes();  //String to byte[]

                                

                                 /*****************获取body 方法二**********************/

                                

                                 int len = byte_Request.length;

                                 byte[] byte_body1 = Arrays.copyOfRange(byte_Request, bodyOffset, len);

                                

                                 new_Request = helpers.buildHttpMessage(headers, byte_body);

                                 //如果修改了header或者数修改了body,不能通过updateParameter,使用这个方法。

                                 messageInfo.setRequest(new_Request);//设置最终新的请求包

                         }

                 }

                 else{//处理响应包

                         IResponseInfo analyzedResponse = helpers.analyzeResponse(messageInfo.getResponse()); //getResponse获得的是字节序列

                         short statusCode = analyzedResponse.getStatusCode();

                         List headers = analyzedResponse.getHeaders();

                         String resp = new String(messageInfo.getResponse());

                         int bodyOffset = analyzedResponse.getBodyOffset();//响应包是没有参数的概念的,大多需要修改的内容都在body

                         String body = resp.substring(bodyOffset);

                         if (statusCode==200){

                                 String newBody= body+"&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&";

                                 byte[] bodybyte = newBody.getBytes();

                              messageInfo.setResponse(helpers.buildHttpMessage(headers, bodybyte));

                         }

                 }

        }

}

六、访问burp中的关键数据

主要任务:

  • 鼠标右键的创建
  • 从Scanner issues中收集邮箱地址
  • 从Proxy history中查找最新cookie
  • 发起扫描任务、发起爬行任务
  • 查询和更新scope

完整源码地址:https://github.com/bit4woo/burp-api-drops/blob/master/src/burp/Lession6.java

package burp;

import java.awt.MenuItem;

import java.awt.event.ActionEvent;

import java.awt.event.ActionListener;

import java.io.PrintWriter;

import java.lang.reflect.Array;

import java.net.URL;

import java.net.URLDecoder;

import java.util.ArrayList;

import java.util.Arrays;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.swing.JMenuItem;

public class BurpExtender implements IBurpExtender, IContextMenuFactory

{//所有burp插件都必须实现IBurpExtender接口,而且实现的类必须叫做BurpExtender

        private IBurpExtenderCallbacks callbacks;

        private IExtensionHelpers helpers;

        private PrintWriter stdout;

        private PrintWriter stderr;

        private String ExtenderName = "burp extender api drops by bit4woo";

        @Override

        public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks)

        {//IBurpExtender必须实现的方法

                 stdout = new PrintWriter(callbacks.getStdout(), true);

                 stderr = new PrintWriter(callbacks.getStderr(), true);

                 callbacks.printOutput(ExtenderName);

                 //stdout.println(ExtenderName);

                 this.callbacks = callbacks;

                 helpers = callbacks.getHelpers();

                 callbacks.setExtensionName(ExtenderName);

                 callbacks.registerContextMenuFactory(this);

        }

        @Override

        public List createMenuItems(IContextMenuInvocation invocation) {

                

                 ArrayList menu_item_list = new ArrayList();

                 //常用

                 JMenuItem printEmails = new JMenuItem("Print Emails");

                 printEmails.addActionListener(new printEmails(invocation));

                 menu_item_list.add(printEmails);

                 JMenuItem printCookie = new JMenuItem("find last cookie of Url");

                 printCookie.addActionListener(new printCookies(invocation));

                 menu_item_list.add(printCookie);

                 JMenuItem scan = new JMenuItem("scan this url");

                 scan.addActionListener(new printCookies(invocation));

                 menu_item_list.add(scan);

                

                 return menu_item_list;

        }

       

        public class printEmails implements ActionListener{

                 private IContextMenuInvocation invocation;

                 public printEmails(IContextMenuInvocation invocation) {

                         this.invocation  = invocation;

                 }

                

                 @Override

                 public void actionPerformed(ActionEvent event) {

                         IScanIssue[]  issues =  callbacks.getScanIssues(null);

                         final String REGEX_EMAIL = "[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+\\.[a-zA-Z0-9-.]+";

                         Pattern pDomainNameOnly = Pattern.compile(REGEX_EMAIL);

                         for (IScanIssue issue:issues) {

                                 if (issue.getIssueName().equalsIgnoreCase("Email addresses disclosed")) {

                                          String detail = issue.getIssueDetail();

                                          Matcher matcher = pDomainNameOnly.matcher(detail);

                                          while (matcher.find()) {//多次查找

                                                  String email = matcher.group();

                                                  System.out.println(matcher.group());

                                          }

                                 }

                         }

                 }

        }

       

        public class printCookies implements ActionListener{

                 private IContextMenuInvocation invocation;

                 public printCookies(IContextMenuInvocation invocation) {

                         this.invocation  = invocation;

                 }

                

                 @Override

                 public void actionPerformed(ActionEvent event) {

                         try {

                                 IHttpRequestResponse[] messages = invocation.getSelectedMessages();

                                 byte[] req = messages[0].getRequest();

                                 String currentShortUrl = messages[0].getHttpService().toString();

                                 stdout.println(currentShortUrl);

                                

                                 /*******************Proxy history中查找最新cookie***************************/

                         IHttpRequestResponse[]  historyMessages = callbacks.getProxyHistory();

                         int len =  historyMessages.length;

                         for (int index=len; index >=0; index--) {

                         IHttpRequestResponse item = historyMessages[index];

                        

                             String hisShortUrl = item.getHttpService().toString();

                             if (currentShortUrl.equals(hisShortUrl)) {

                                     IRequestInfo hisanalyzedRequest = helpers.analyzeRequest(item);

                                     List headers = hisanalyzedRequest.getHeaders();

                                     for (String header:headers) {

                                           if (header.startsWith("Cookie:")) {

                                                   stdout.println("找到cookie---"+header);

                                           }

                                     }

                             }

                         }

                         } catch (Exception e) {

                                 callbacks.printError(e.getMessage());

                         }

                 }

        }

       

        public class scan implements ActionListener{

                 private IContextMenuInvocation invocation;

                 public scan(IContextMenuInvocation invocation) {

                         this.invocation  = invocation;

                 }

                

                 @Override

                 public void actionPerformed(ActionEvent event) {

                         try {

                                 IHttpRequestResponse[] messages = invocation.getSelectedMessages();

                                 for (IHttpRequestResponse message:messages) {

                                          byte[] req = message.getRequest();

                                          IRequestInfo analyzedRequest = helpers.analyzeRequest(req);

                                          URL url = analyzedRequest.getUrl();

                                          IHttpService service = message.getHttpService();

                                          boolean useHttps = service.getProtocol().equalsIgnoreCase("https");

                                          /******************发起扫描任务************************/

                                         callbacks.doActiveScan(service.getHost(), service.getPort(), useHttps, req);

                                         stdout.println(url.toString()+"被加入了扫描队列");

                                          /******************发起爬行任务************************/

                                         callbacks.sendToSpider(url);

                                         

                                          /******************查询URL是否在scope************************/

                                          if (callbacks.isInScope(url)) {

                                                  /******************scope中移除************************/

                                                  callbacks.excludeFromScope(url);

                                          }

                                          URL shortUrl = new URL(service.toString());

                                          /******************加入scope************************/

                                         callbacks.includeInScope(shortUrl);

                                 }

                         } catch (Exception e) {

                                 callbacks.printError(e.getMessage());

                         }

                 }

        }

}

七、Session Tokens 本质也是请求包的修改

https://github.com/PortSwigger/example-custom-session-tokens

八、IMessageEditorTab

九、自定义UI界面\菜单

使用windowsBuilder

十、自定义扫描插件的开发

扫描插件中更新请求的方法

String paraName = insertionPoint.getInsertionPointName(); //实在就是参数名

String paraValue = insertionPoint.getBaseValue();//实质就是原始值

byte[] modifiedRawRequest = insertionPoint.buildRequest(payload.getBytes());//payload的值【替换】原始的值;

//insertionPoint可以是参数值、整个body、新增的URL参数、新增的body参数;但没有定义【参数名】的注入点,如果想要用payload替换参数名,就需要自己实现了(通过更改参数的方式),

long sendTime = System.currentTimeMillis();

IHttpRequestResponse checkRequestResponse = callbacks.makeHttpRequest(

baseRequestResponse.getHttpService(), modifiedRawRequest);

iscanissue

自定义扫描插入点

为什么需要自定义插入点

Burpsuite插件开发_第16张图片

 

https://github.com/PortSwigger/example-custom-scan-insertion-points

https://github.com/PortSwigger/example-scanner-checks

如何与burp自生DNSlog进行交互

开发一个复杂的扫描插件,要注意什么?

十一、自定义Intruder Payloads

Provide custom Intruder payloads and payload processors.

https://github.com/PortSwigger/example-intruder-payloads

十二、插件配置的保存

一些小的点

1、buildRequest是在原始值后追加,还是替换原始值?

byte[] requsetbyte = insertionPoint.buildRequest((insertionPoint.getBaseValue()+payload).getBytes()); //buildRequest是在原始值后追加,还是替换原始值? 经测试是替换!!!

2、burp插件开发中,子类异常不要使用system.exit(0),否则整个burp都将退出!

3、添加issue时有2种方法(还是强烈建议使用issues.add的方法!!!避免漏报!)

4、 通过callbacks.addScanIssue ,这种方法添加的issue,中不会包含当前插入点。适合用于url级别、host级别的扫描。

5、burp官网不建议使用的方法,通过它添加的漏洞,不会在scanqueue中有记录!!!【在实际的debug测试中还出现过明明调用成功,却发现连target中都没有记录的情况!!!】

6、 通过创建List issues = new ArrayList<>(); 然后在函数结尾返回这个list,然后会由burp进行issue的添加,这个适合burp是知道当前插入点的,会包含插入点名称。    这是burp建议的添加漏洞的方法,实际测试它也是有优势的!通过它上报的漏洞会在【scanqueue target】中都有记录。而且这个方法的整体逻辑中有自动判断去重的能力!唯一的缺点就是始终包含插入点信息!

你可能感兴趣的:(JAVA代码审计,Web渗透测试,java,开发语言)