BurpSuite暴力破解与防御实战 BurpSuite暴力破解与防御实战

burpsuite暴力破解工具准备

burp suite
用于攻击web 应用程序的集成平台
jsEncrypter
一个用于前端加密Fuzz的Burp Suite插件，支持base64、sha、md5、RSA等加密
phantomjs
可用于网络监测、网页截屏、无界面 Web 测试、页面自动化的命令行工具

上述文件已打包存储：链接：https://pan.baidu.com/s/1CqYT7toC_qxF0pJn0kWrxQ 提取码：9bl8
本次使用相关工具版本为：Burp_Suite_Pro_v1.7.37、jsEncrypter.0.3.2、phantomjs-2.1.1，各软件安装配置自行网上查找，配置完成后应如下方截图：

文章图片

文章图片

接口抓取

浏览器配置代理
burp 启动代理
访问对应系统分析接口

文章图片

当我们随便输入了账号密码点击了登录之后，发现传输的参数是被加密了。
分析加密方法
【BurpSuite暴力破解与防御实战】

文章图片

所以接下来我们需要做的就是实现此加密方法后在爆破请求时把请求的参数信息对表单信息尽心加密。并且得知加密过程为：

# 1. 把输入的账号密码转为对象 loginInfo = {account：unamebalabala,password:pwdbalabala} # 2. 把上面的对象进行RSA加密 ency_text=JSEncypt.encypt(loginInfo) # 3. 对加密后的字符进行base64加密 ciphertxt=Base64.encode(ency_text) # 4. 生成新的对象后调用接口 data=https://www.it610.com/article/{'ciphertxt':ciphertxt}

使用phantomjs进行本地调试
启动报错

文章图片

查看phantomjs_server.js文件，同级目录下没有script-1.js文件，需要把依赖文件放在同级目录下。
查看官网加密例子
在jsEncrypter-master\test\TestScript\RSA 目录下可以看到RSA加密的例子

文章图片

已经实现的RSA加密方法

文章图片

通过官方的例子我们可以看到phantomjs使用jsencrypt加密的过程：

# 1. phantomjs运行加密js文件，即： phantomjsjsEncrypter_rsa.js # 2. 加密js文件引入了封装好的加密方法的js，即 phantom.injectJs('jsencrypt.js') # 3. 引入文件后启动一个本地服务，供调用测试（burp在爆破前也是调用此服务接口对参数进行加密的）

抄官方的例子，实现加密方法

文章图片

文章图片

在burp中验证加密方法 (或者在postman中也可以验证)

文章图片

文章图片

爆破过程

添加接口到爆破模块

文章图片

添加爆破点
此处仅添加了一个爆破点即账号密码加密后的

文章图片

添加参数处理方法

文章图片

开始爆破并定位成功请求
可根据请求状态或者响应长短来定位不同请求的结果，例子中根据响应内容长度来确定破解状态。

文章图片

补充：攻击类型针对爆破点有四种攻击类型，以账号密码两个爆破点为例：

文章图片

若爆破点1的枚举值个数为8个，爆破点2的枚举值个数为9个，则下列攻击类型分别产生的攻击次数为：

Sniper：仅需设置一个值域，所有爆破点用一个枚举值域进行爆破。
仅针对一个爆破点进行爆破，即爆破过程中其他爆破点的值保持不变。则分别对爆破点1和爆破点2进行8+8=16次爆破。
Battering ram：仅需设置一个值域，所有爆破点用一个枚举值域进行爆破。
同时对多个爆破点使用值域中的同一个值进行爆破。则总爆破次数为值域的个数，即8次*（此处使用账号值域）*
Pitchfork：分别设置值域，同时对多个爆破点使用对应爆破点的值域进行爆破。
即账号密码一一的对应取值爆破，则总爆破次数为值域少的爆破点的次数，即8次。
Cluster bomb：分别设置值域。同时对多个爆破点的值域取笛卡尔积进行爆破。
则总爆破次数为8*9=72次。

注：爆破过程可分别对各爆破点参数进行参数处理。

爆破过程总结

对于未加密的参数，可以直接使用自带的枚举域根据类型进行爆破，也可以根据一定规则导入数据
对于简单参数加密，burp自带了参数修改方法：正则替换、前后缀、加解密等
复杂的参数处理、加密等需要从页面查找加密方法，实现后通过phantomjs启动代理服务，在请求发起时对参数进行处理后请求接口
a. 本质上是启动了一个服务，调用接口返回加密结果，ip127.0.0.1 port 1664 body={“playload”:para}
b. 可通过jsEncrypter使用js编写加密方法
c. 也可以使用其他脚本语言编写接口实现加密方法
本次使用的是JsEncrypt插件进行的加密，可使用python编写插件

补充：使用python编写服务的时候的坑

坑1：在burp中测试连接的时候连接不上
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0k0zu43T-1637202071884)(C:/Windows/system32/upload/image-20211103152739852.png)]
虽然不影响加密调用但是心里慌啊，分析jsencrypt例子

文章图片

原来不发post就直接返回就好了，所以需要多写一个get请求

文章图片
坑2：还以为只是一个简单的post带form就完了，结果写的时候不知道消息体参数呀
只能在原来的JsEncrypt中找消息体了：加上请求的日志

文章图片

分析请求的数据：请求方法、类型、数据、都出来了

文章图片
坑3：以为写个post参数模型就能搞定json请求，结果postman能访问，但是burp的JsEncrypt请求不了。。。仔细看上面的请求Content-type，不是json啊，，，继续优化

文章图片

最后终于搞定了…上码：(文中的加密方法参考https://blog.csdn.net/Orangesir/article/details/114990606)

# -*- coding:utf8 -*- """ @ Author: 吕文举 wjlv4 @ File: Encrypt.py @ Time: 2021/11/03 @ Contact: wjlv4@iflytek.com @ Desc: Encrypt.py加密实现 """import base64 from Crypto.Cipher import PKCS1_v1_5 as Cipher_pksc1_v1_5 from Crypto.PublicKey import RSAdef _encrpt(string, public_key): rsakey = RSA.importKey(public_key)# 读取公钥 cipher = Cipher_pksc1_v1_5.new(rsakey) # 因为encryptor.encrypt方法其内部就实现了加密再次Base64加密的过程，所以这里实际是通过下面的1和2完成了JSEncrypt的加密方法 encrypt_text = cipher.encrypt(string.encode())# 1.对账号密码组成的字符串加密 cipher_text_tmp = base64.b64encode(encrypt_text)# 2.对加密后的字符串base64加密 # 源码除了encryptor.encrypt加密外，又一次对密文进行了Base64加密，所以我们这里也再次加密 cipher_text = base64.b64encode(cipher_text_tmp) return cipher_text.decode()def gen_body(account, pwd, public_key=None): '''根据账号密码生成请求的body然后调用_encrpt方法加密''' if not public_key: public_key = 'MIGfMA0GxxxxxxxxxxEBAQUAA4+QKBgQCFa8mE++++++++++hMrwZ7+++Vbtb7Rcnjw9Pxxxx++xxabG6QL0G2++++xxxx++JH6Q++++W+BqH920D+++++++++++kG0Z+++++BuSZNH++++xxxx++WX1NHHDDMwSOS3PqFJ+BVOm++++++DAQAB' key = '-----BEGIN PUBLIC KEY-----\n' + public_key + '\n-----END PUBLIC KEY-----' encrypt_res = _encrpt("{'account': '%s','password':'%s'}" % (account, pwd), key) return encrypt_res

# -*- coding:utf8 -*- """ @ Author: 吕文举 wjlv4 @ File: server.py @ Time: 2021/11/03 @ Contact: wjlv4@iflytek.com @ Desc: server.py用于burp通过JsEncrypt请求的服务 """from typing import Optionalfrom fastapi import FastAPI, Body from pydantic import BaseModelfrom Encrypt import gen_bodyapp = FastAPI()class Payload(BaseModel): payload: str@app.post('/') async def get_encrypt_body(payload: Optional[str] = Payload, payload_info: Optional[str] = Body(None)): """ 获取生成加密参数 - payload: 支持json传参 - payload_info: 支持body传参，传的是字符串payload=xxxx - return 加密后的字符串 """ if payload_info: print(payload_info) payload_k, payload = payload_info.split('=') pub_key = 'MIGfMA0GC++++++++QCFa++++3F+7c+++++++iEKAOW+eabG6QL+++++++++bFhW+BqH92+++++kG++++CZVH3OBuSZNHYz++++++++BVOmlz++++DAQAB' encrypt_str = gen_body(payload, payload, pub_key) return encrypt_str@app.get('/') async def get_encrypt_status(): """ 随便返回点什么，让burp的jsEncrypt能连上就行 """ return 'hello jsEncrypter!'if __name__ == '__main__': import uvicornuvicorn.run('server:app', host='127.0.0.1', port=1664, reload=True)

postman么得问题

文章图片

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GG9LRScK-1637202071891)(C:/Windows/system32/upload/image-20211103154606666.png)]
burp使用JsEncryptor也么得问题

文章图片