|
|
|
联系客服020-83701501

Burpsuite之Burp Collaborator模块介绍

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Burpsuite之Burp Collaborator模块先容

Burp Collaborator.是从Burp suite v1.6.15版本添加的新遵守,它几乎是1种全新的渗入渗出测试方法。Burp Collaborator.会逐渐反对blind XSS,SSRF,?asynchronous code injection等别的还未分类的裂缝典范榜样。

本文主要先容使用Burp Collaborator.对这几种典范榜样裂缝中止探测。

概念:In-band attack与 out-band attack(带内与带外侵犯)

首先先容两个概念,带内与带外的区别中心在因此否使用差距的通信通道。

在1次侵犯当中,只要1条通道,属于in-band(带内)侵犯:

31

而今同1次侵犯下,不止1条信道,则属于out-band(带外)侵犯:

222

旧规web测试模型

冗杂的讲,旧规的web测试模型便是咱们向目标发送payloads,尔后分析目标前往的数据。

33

这个模型很冗杂建立并且冗杂了解,但是这个冗杂的模型脱漏不少bugs,比如:

  1. “super-blind” injection。”blind SQL injection”默示当1个payload破坏了畸形的sql查询然则哄骗轨范前往的内容不有任何有副手的不对动静。但是在有些环境下,1个战败的注入在目标哄骗的前往外面是完全看不到区别的,意思便是,不管前往的内容还是前往的年华,都不有任何区别。举个例子,注入asynchronous logging function便是1个模范的环境
  2. 必要存储数据的环境。比如存储型xss理论上经过先提交payloads尔后观察前往值是大概发明的。但是别的的存储型bugs很难发明,比如,stored (or second-order) SQL injection,数据先是以安全的门径存储在数据库中,尔后再从数据库取出再拼接sql语句。要使用旧规渗入渗出模型发明这种裂缝,咱们必要爆破每1种请求的组合,要先发送第1个request请求,尔后在发送第2个request请求,尔后观察前往值。
  3. 咱们还会脱漏1种裂缝,1次战败的侵犯只发生在哄骗内部,对侵犯者是不可见的。比如,存储型xss侵犯战败恳求设计员拜访设计地点。
  4. 还有不少触及到内部琐细与外部老本交互的环境,比如SSRF和RFI等裂缝。

加入Burp Collaborator后的web测试模型

Burp Collaborator 给传统web测试模型添加了1个新的一切,Burp Collaborator的遵守有:

  • 捕捉由Burp收回的payloads触发的目标与外部琐细发生数据交互行为
  • 把Burp Collaborator与目标数据交互行为发生的前往数据传回侵犯者
  • 对不少新型裂缝中止可靠的探测。?34

Burp Collaborator模块囊括如下特色:

  • Burp Collaborator 办事器通常运行在公网上。
  • 它使用自身的专用域名,并且这个办事器已注册为该域名的威望DNS办事器。
  • 它供给1个DNS办事,大概相应任何对他的dns请求
  • 它供给HTTP/HTTPS?办事,使用1个有效的SSL证书
  • 将来大概添加别的的办事,比如smtp和ftp。

探测external service interaction(外部办事交互侵犯)

与外部办事交互行为发生在1个payload提交到目标哄骗上,导致目标经过某个网络协宣战1个外部的域名中止动静交互。

35

这种行为无意候被称为SSRF,咱们更偏袒于称之为外部办事交互(”external service interaction”)侵犯,由于这种环境外面,不少行为不光仅经过HTTP协议触发,还有SMB可能FTP等。

外部办事交互大概代表1个严重的裂缝,由于他大概允许哄骗办事器作为1个代理来侵犯别的的办事器。这包裹公网上面的第3方琐细,同1个构造下的内部琐细可能监听在当地的办事。遵照网络布局,这大概将内部冗杂被侵犯的琐细裸露给外部的侵犯者。

Burp payload囊括Brup Collaborator主域名的随机子域名列表。当1个基于HTTP的外部办事交互侵犯发生的时候,Collaborator办事器将会收到指定子域名的1个DNS查询。接管到DNS查询充分确认具有标题问题。假设1个payload以http://…开头只导致了1个DNS交互,那么几乎大概确定目标办事器制止了对外http请求。在这种环境下,后续的侵犯大概针对别的构造办事或目标别的IP。由于这个起因,Burp分开申报触发到的DNS和HTTP交互行为。

在Burp的issue advisory中,Burp申报中透露表现了测验考试让目标办事器中止外部办事交互行为的请乞降Collaborator server交互的一切细节。36

37

38

39

探测out-of-band resource load(带外老本加载)

Out-of-band resource load发生的环境是将payload发送到目标哄骗上面导致目标先测验考试经过1个域名失掉内容,尔后将失掉到的内容整合到原始的前往数据当中。

40

这种行为无意候归类为为远程文件囊括。但是远程文件囊括这个实词有PHP文件囊括等寄义。咱们更偏袒于称之为” out-of-band resource load”侵犯,由于这种环境外面,无意候哄骗从外部失掉内容尔后将其放入哄骗的前往后果当中。

Out-of-band resource load侵犯是1种诱惑很高的标题问题,1个侵犯者发送payload,尔后从大概交互的哄骗中失掉数据。别的,这也大概导致裸露第3方琐细可能敏感的内部琐细。

别的,哄骗轨范处理out-of-band content时裸露了1些紧迫而且不传统的侵犯面。

Burp会详细申报Collaborator server发生的的交互行为动静,并显现内容如何从Collaborator反向传输到哄骗带内再前往给用户。

41

42

探测out-of-band XSS(带外XSS)

在外部老本加载裂缝已经确认具有的环境下,这时候很大概或许也具有out-of-band XSS

43

Out-of-band XSS不属于通常的XSS分类下

  • 不是反射型,payload并不是在以后in-band 请求中发送给目标哄骗。
  • 不是存储型,payload并不有存储在目标哄骗当中
  • 不是DOM XSS:并不有已有的JavaScript。

探测”super-blind” injection裂缝
在1个code injection 侵犯不能触发任何大概被探测到的动静的环境下,咱们大概在注入战败的时候经过触发1次外部办事交互,从而确认注入战败。

44

大概注入的payload典范榜样席卷SQL注入,XXE注入,OS命令注入等。使用这些payloads的时候,Burp毋庸要从目标办事器失掉任何前往的动静,但是大概战败的探测到注入裂缝。在这种环境下,只必要1次DNS查询便大概确定注入裂缝具有。由于目标办事器必要中止域名查询所以总是允许外部DNS查询。

探测 out-of-band 注入裂缝

当探测到任何典范榜样的外部办事交互,咱们大概使用Collaborator server的前往数据来向目标办事器传输传统的输出型payloads。由于目标哄骗会处理Collaborator的前往数据,旧规的裂缝就会具有,席卷SQL注入,server-side code execution等。

45

这种裂缝大概或许会很常见,终究以后还不有完全被测试过。

探测stored out-of-band 裂缝

目标哄骗轨范会处理从Collaborator server失掉的数据并存储。

探测stored out-of-band resource load 很间接:

46

基于上图的行为,咱们大概测试stored out-of-band XSS裂缝:

47

48

 

探测blind stored典范榜样的裂缝

咱们已经刻画了如何探测”super-blind”注入裂缝,同样咱们也大概探测那种先必要被存储上去,尔后再被目标取出从而发生的裂缝。与Collaborator server之间的拖延的交互行为能让咱们发明不少这种存储型的裂缝。

比如,XSS盲打(blind stored xss)这个裂缝,侵犯者是无奈探测到侵犯是否战败,由于侵犯者不有拜访布景的权限。但是咱们大概先提交存储型xss payloads,尔后使用Collaborator server触发交互行为。

49

在这个例子中,当哄骗设计员拜访被爱护的页面,Burp经过Collaborator server大概确定存储型侵犯发生。并且,经过从Collaborator获的HTTP Refer大概晓得设计的设计地点(即布景地点)。

反对别的协议典范榜样?

上文中的裂缝典范榜样主要触及DNS和HTTP协议,终究上,咱们也大概使用别的协议触发Collborator和目标哄骗交互行为:

  • 经过SMTP协议注入mail头中止探测
  • 触发1次SMB共享连接并且抓取NTLM handshake
  • 触发1次SSH连接尔后抓取认证凭据。

 

[via@xiaoxiaoleo] 本文系91ri.org投稿文章,未经作者允许请勿转载。

数安新闻+更多

证书相关+更多