Burpsuite Collaborato模塊詳解

收藏待读

Burpsuite Collaborato模塊詳解

Burp suite Pro自從v1.6.15版本開始引入了一種名為Burp Collaborator的模塊,該模塊的作用簡單的說就是集合了DNS log, http_https log和smtp_smtps log的記錄器,有點類似國內的Ceye平台。

為了解釋這個模塊,burp引入了In-band attack與 out-band attack(帶內與帶外攻擊)兩個概念,兩者最主要的區別在於數據的流動方向和參與者的數量。

帶內攻擊(In-band attack)是平時最常見的滲透測試模型:

Burpsuite Collaborato模塊詳解

通常在滲透測試過程中,無論是手工還是利用工具都是由攻擊端發送含有payload的數據給被攻擊端,然後校驗被攻擊端返回的數據。在這個模型中角色只有兩個,流量只有兩個信道。

帶外攻擊(out-band attack)則是Burp Collaborator的攻擊模型:

Burpsuite Collaborato模塊詳解

在帶外攻擊中由攻擊者發送有害流量到被攻擊者,但是數據不會直接返回而是轉向了第三方服務器,最後返回被攻擊者。在帶外攻擊中,數據走三個信道,有三個角色。當然有時候第三方服務器和攻擊者可以在同一個終端上

Burp Collaborator是一個c/s結構的服務器。在Project options->Misc->Burp Collaborator Server是配置、校驗Burp Collaborator服務器的地方。

而在Burp->Burp Collaborator Client是查看服務器信息的地方。

0×2 Burp Collaborator Server的搭建

Burp Collaborator 是一個C/S結構的應用程序,C自然是burp的客戶端,S則可以根據情況而定。

0×01 Burp自帶的服務器

Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解

0×02自建服務器

環境在 https://github.com/0xs1riu5/Writeup/tree/master/0x15Burp%E7%9A%84Collaborator%E4%BB%8B%E7%BB%8D

Burp Collaborator允許自建服務器,而且自建Collaborator服務器是不需要Pro授權的。自建服務器根據具體的網絡分為兩種。

0×001 內網

優點:方便靈活,在無網絡的情況下(比如CTF比賽和內網測試)也可以使用。

缺點:無DNS log,https log和 smtps log。

搭建內網環境已經封裝成了docker,前往Docker_Server_Inner目錄下:

docker-compose build
docker-compose up -d

Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解

0×002 外網

與內網搭建相比,外網就比較麻煩了。

所需材料:

VPS

域名:(從godaddy買的,然後移交到了cloudflare下進行控制),以my-subdomain-for-burp.luffy.com為例(假域名,需要改成自己的二級域名)

LetsEncrypt(免費的ssl加密證書)

Burp Suite Pro

Docker

0×0001 配置SSL證書

wget https://raw.githubusercontent.com/certbot/certbot/master/certbot-auto -O /usr/local/bin/certbot-auto
chmod a+x /usr/local/bin/certbot-auto
certbot-auto
certbot-auto certonly -d my-subdomain-for-burp.luffy.com -d *.my-subdomain-for-burp.luffy.com  --server https://acme-v02.api.letsencrypt.org/directory --manual --agree-tos  --[email protected] --manual-public-ip-logging-ok --preferred-challenges dns-01

Burpsuite Collaborato模塊詳解 最後生成的證書默認是放在/etc/letsencrypt/目錄下的。

然後前往cloudflare添加兩個TXT記錄:

_acme-challenge.my-subdomain-for-burp.luffy.com -> en9Gf... _
acme-challenge.my-subdomain-for-burp.luffy.com -> Ffzzws... 

Burpsuite Collaborato模塊詳解

0×0002 Burp Collaborator Server的配置

Burpsuite Collaborato模塊詳解

將域名和IP改成對應的二級域名和VPS公網IP地址:

docker-compose build
docker-compose up -d

Burpsuite Collaborato模塊詳解

0×0003 修改A記錄和NS記錄

1.NS記錄指向ns1.my-subdomain-for-burp.luffy.com;

2.A記錄指向公網IP。

Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解Burpsuite Collaborato模塊詳解 測試成功。

但是Burp Collaborator有一個缺點就是數據無法持久化,Burp Suite 不可能保存Collaborator的上下文。關閉client那麼所有的數據就丟失了。現在也只能期待以後Burp會添加這方面的功能了。

現在為止有一個很好的折衷的方案就是在自建的服務器上開啟DEBUG功能(我在docker中已經啟用了),查看log信息,Burp自帶的服務器就不可能實現了。

Burpsuite Collaborato模塊詳解

我把日誌內容導向到了logs目錄下的burp.log文件。

0×3 漏洞測試

0×01 XXE

前往Docker_vul_JavaVulnerableLab,這個XXE是回顯式的,不過我按照盲注的方式測試:

docker-compose build
docker-compose up -d

啟用之後訪問 http://127.0.0.1:8080/vulnerability/Injection/xxe.jsp

Burpsuite Collaborato模塊詳解

忙注的校驗漏洞的PAYLOAD:

<!DOCTYPE ANY []>Neo&hello;[email protected]

Burpsuite Collaborato模塊詳解

實現文件讀取。

新建一個evil.xml文件,放在web目錄下:

<!ENTITY % ent "">

然後修改POST包:

<!DOCTYPE foo [ %xxegsd76; %ent; ]>Neo&data;[email protected]

Burpsuite Collaborato模塊詳解

原文 : FreeBuf

免责声明:本文内容来源于FreeBuf,已注明原文出处和链接,文章观点不代表立场,如若侵犯到您的权益,或涉不实谣言,敬请向我们提出检举。