前言

HTTP请求是客户端(通常是用户的网页浏览器)与服务器之间进行通信的一种方式。它遵循超文本传输协议(HTTP, Hypertext Transfer Protocol)的标准,用于在Web上传输数据。
以下是HTTP请求的基本组成部分和过程:

1. HTTP请求的组成部分

一个HTTP请求通常包含以下几个部分:

  • 请求行:包括请求方法、URL和HTTP版本。

  • 请求头(Headers):包含关于客户端环境和请求本身的信息,例如用户代理、内容类型、接受类型等。

  • 空行:请求头和请求体之间必须有一个空行。

  • 请求体(Body):包含要发送给服务器的数据,不是所有请求都有请求体。

2. HTTP请求方法

以下是一些常见的HTTP请求方法:

  • GET:请求指定的资源。

  • POST:向服务器提交数据,通常用于提交表单或上传文件。

  • PUT:更新服务器上的资源。

  • DELETE:删除服务器上的资源。

  • HEAD:类似于GET请求,但服务器不会返回请求体,只返回响应头。

  • OPTIONS:用于描述目标资源的通信选项。

  • PATCH:用于对资源进行部分更新。

3. 例子

以下是一个简单的HTTP GET请求的例子:

1
2
3
4
5
6
7
GET /index.html HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

在这个例子中:

  • GET 是请求方法。

  • /index.html 是请求的资源。

  • HTTP/1.1 是使用的HTTP版本。

  • Host 是请求的服务器地址。

  • 其他行都是请求头,提供了关于客户端环境和请求的附加信息。

4. 发起HTTP请求

可以通过多种方式发起HTTP请求:

  • 浏览器:用户在浏览器地址栏输入URL或点击链接时,浏览器会发起HTTP请求。

  • cURL:命令行工具,常用于服务器端脚本或在命令行中发起HTTP请求。

  • 编程语言:大多数编程语言都提供了HTTP请求的库或模块,例如Python的requests库、JavaScript的fetch API等。

5. 响应

服务器在接收到HTTP请求后,会处理请求并返回一个HTTP响应,响应包含状态码(如200表示成功)、响应头和响应体。

HTTP请求和响应是Web工作的基础,对于Web开发人员来说,理解HTTP请求的细节对于调试和优化Web应用至关重要。

Burp Suite工具(Proxy、Intruder、Repeater)使用

1.Proxy 模块的使用

Burp Suite中的Proxy模块是其中一个最常用和最强大的模块之一,它允许用户拦截、查看和修改Web应用程序的HTTP和HTTPS流量,使用户能够识别和利用各种不同类型的漏洞。Proxy模块又分为四部分,分别是Intercept(拦截),HTTP history,WebSockets history,Option(选项)。

下面是对四部分的基本解释:

  1. Intercept(拦截):

    • 拦截功能允许Proxy服务器监控并修改客户端和服务器之间的数据传输。

    • 开发者可以利用这个功能来调试应用,例如查看、修改请求和响应。

    • 安全测试人员可能会用它来注入攻击载荷,测试应用的漏洞。

    • 该模块功能如图所示:

  1. HTTP history:

    • HTTP历史记录了通过Proxy的所有HTTP请求的详细信息。

    • 这包括请求的方法、URL、头部信息、发送的数据和从服务器接收的响应。

    • 开发者可以通过历史记录来分析应用的行为,检查错误,优化性能。

    • 该模块功能如图所示:

  2. WebSockets history:

    • WebSocket历史记录了WebSocket连接的详细信息,这包括打开的连接、通过连接发送的消息和从服务器接收的消息。

    • WebSocket是一种在单个TCP连接上进行全双工通信的协议,常用于需要快速、实时通信的应用,如在线游戏、实时交易系统等。

    • 通过查看WebSocket历史,开发者可以调试和优化实时通信功能。

    • 该模块功能如图所示:

  3. Option(选项):

    • 选项部分允许用户配置Proxy的行为。

    • 这可能包括设置规则来拦截特定的请求,配置证书用于解密HTTPS流量,设置流量规则,以及调整其他各种代理设置。

    • 通过这些选项,用户可以根据自己的需求定制Proxy的工作方式。

    • 该模块功能如图所示:







2.Intruder 模块的使用

Burp Suite的Intruder模块是一个非常强大的工具,用于自动化定制攻击以发现Web应用程序中的安全漏洞。以下是简要介绍:

功能:

  1. 攻击类型:

    • Sniper:使用相同的载荷集合,一次更改一个目标位置。

    • Battering ram:使用相同的载荷集合,同时更改所有目标位置。

    • Pitchfork:为每个目标位置使用不同的载荷集合,组合不同的载荷。

    • Cluster bomb:为每个目标位置使用不同的载荷集合,尝试所有可能的载荷组合。

  2. 目标:

    • 用户可以指定HTTP请求中的哪些部分(如参数、头、cookie等)作为攻击的目标位置。

  3. 载荷:

    • Intruder允许用户从文件、自定义列表或内置的 payloads 列表中选择载荷。

    • 支持使用变量和宏来生成复杂的载荷。

  4. 攻击配置:

    • 用户可以配置攻击的详细信息,如并发线程数、请求延迟、重试策略等。

  5. 结果分析:

    • Intruder捕获每个请求的响应,并允许用户根据响应长度、状态码、响应时间或其他自定义参数来筛选和排序结果。

    • 支持使用正则表达式来识别感兴趣的响应模式。

使用步骤:

  1. 发送请求:

    • 在浏览器或其他Burp工具(如Proxy或Repeater)中捕获一个HTTP请求。

    • 将该请求发送到Intruder模块。

  2. 配置攻击:

    • 选择攻击类型。

    • 标记目标位置。

    • 选择或创建载荷。

  3. 启动攻击:

    • 配置攻击选项并启动攻击。

    • Intruder开始发送请求并捕获响应。

  4. 分析结果:

    • 查看结果表格,分析异常或有趣的响应。

    • 使用结果过滤器来识别潜在的漏洞。

应用场景:

  • 密码破解:通过自动化尝试密码组合来破解登录表单。

  • 参数篡改:测试应用程序对异常输入的响应。

  • 目录/文件枚举:发现Web服务器上的隐藏目录或文件。

  • SQL注入:检测和利用SQL注入漏洞。


该模块界面如上图所示。

由四个部分组成:

  1. Target(目标):攻击的目标URL或网站。
  2. Positions(位置):在HTTP请求中插入负载的位置,如GET参数、POST表单字段等。
  3. Payloads(负载):要插入到请求中的数据,可以是文本、二进制文件或其他类型的数据。
  4. Options(选项):附加的设置或配置,例如攻击类型、延迟时间、重复次数等。

Position部分

Intruder模块的测试模式分为4种:

  • Sniper(Sniper):逐个地对每个目标参数进行测试。这种方式适用于需要具体指定某个参数值进行测试的情况。

  • Battering Ram(破城槌):选择多个不同的参数值集合作为测试数据进行并行测试,以找出所有可能的漏洞点。这种方式适用于需要大量测试数据的情况。

  • Pitchfork(干草叉):同时对多个参数进行测试,将不同的参数组合在一起进行测试。这种方式适用于需要测试多个参数交互情况的情况。

  • Cluster Bomb(集束炸弹):类似于Battering Ram,不同之处在于它将多个参数值集合作为测试数据,但会对每个参数集合都进行逐次的单元素组合测试。这种方式适用于需要详细测试每个参数值的情况。

说人话:

  • Sniper
    就是爆破单个位置,你指定哪就爆破哪
    如下图,就是不同的用户名,密码不变为123456。
1
2
3
zhangsan 123456  
lisi 123456  
wangwu 123456
  • Battering Ram
    指定多个位置 他只需要你一个字典文件,所有位置的参数一样。
1
2
3
4
admin admin  
1111 1111  
zhangsan zhangsan  
lisi lisi
  • Pitchfork(干草叉)
    一般加入两个变量值进去,比如说dict1: admin,test,root dict2: 123456, admin123,root.
1
2
3
admin 123456  
test admin123  
root root
  • Cluster Bomb(集束炸弹)
    一般加入两个变量值进去,比如说dict1: admin,test,root dict2: 123456, admin123,root.
1
2
3
4
5
6
7
8
9
admin 123456
admin admin123
admin root
test 123456
test admin123
test root
root 123456
root admin123
root root

Payloads部分

在Payload Type选项中共有:Simple listRuntime fileCustom iteratorCharacter substitutionCase modificationRecursive grepIllegal UnicodeCharacter blocksNumbersDatesBrute forcerNull payloadsCharacter frobberBit flipperUsername generatorECB block shufflerExtension-generatedCopy other payload 这18种类型,接下来我将一一介绍。

1.Simple list(简单列表)

  • 描述:提供一组预定义的payload列表。这些payload可以是手动输入的,也可以是从文件中导入的。

  • 用途:适用于当已知一组特定的测试用例,需要重复测试这些用例时。

2.Runtime file(运行时文件)

  • 描述:引用一个外部文件,该文件在测试过程中可以动态更新。

  • 用途:当payload需要实时更新,或者是从其他工具或脚本生成的动态列表时。

3.Custom iterator(自定义迭代)

  • 描述:基于多个参数的笛卡尔积生成payload。可以设置多个参数,每个参数都有自己的值列表。

  • 用途:用于需要测试大量组合的情况,如参数化攻击。

4.Character substitution(单个字符替换)

  • 描述:将payload中的字符替换为指定的替代字符。

  • 用途:测试字符编码问题或输入过滤器的绕过。

5.Case modification(大小写替换)

  • 描述:生成原始payload的所有大小写变体。

  • 用途:测试应用程序是否对大小写敏感。

6.Recursive grep(递归grep)

  • 描述:从应用程序的响应中提取信息,并使用这些信息作为新的payload。

  • 用途:发现并利用应用程序的动态行为。

7. Illegal Unicode

  • 描述:生成包含非法Unicode字符序列的payload。

  • 用途:测试应用程序对异常或非法字符序列的处理。

8. Character blocks

  • 描述:生成包含预定义字符块(如字母、数字、符号等)的payload。

  • 用途:测试应用程序对特定字符集的过滤和验证。

9. Numbers

  • 描述:生成一系列数字,可以指定起始值、结束值和步长。

  • 用途:测试数字输入字段,例如ID、序列号或日期。

10. Dates

  • 描述:生成一系列日期,可以指定日期格式、起始日期和结束日期。

  • 用途:测试日期输入字段,特别是格式化错误或SQL注入。

11. Brute forcer

  • 描述:基于预定义的字符集和长度范围生成payload。

  • 用途:用于执行暴力破解攻击,如密码破解。

12. Null payloads

  • 描述:生成空或null的payload。

  • 用途:测试应用程序如何处理空值或缺失的参数。

13. Character frobber

  • 描述:随机修改原始payload中的字符,通常用于测试缓冲区溢出。

  • 用途:检测应用程序对字符变异的稳健性。

14. Bit flipper

  • 描述:对原始payload中的每个字符进行位翻转操作。

  • 用途:测试应用程序对数据损坏的敏感度。

15. Username generator

  • 描述:结合常见的前缀、后缀和单词列表生成用户名字符串。

  • 用途:用于测试用户认证机制,特别是当需要猜测或枚举用户名时。

16.ECB block shuffler

  • 描述:这个payload类型专门用于测试基于ECB(Electronic Codebook)模式的加密。它会对加密块进行重新排列,以尝试破坏加密数据的完整性或发现模式。

  • 用途:用于检测加密实现中的弱点,尤其是当使用ECB模式时,该模式因其对相同明文块产生相同密文块的特性而容易受到某些类型攻击的影响。

17.Extension-generated

  • 描述:这种payload类型允许用户使用Burp Suite的扩展来生成payload。这意味着任何编写了Burp扩展的开发者都可以创建自定义的payload生成器。

  • 用途:当内置的payload类型不足以满足特定测试需求时,可以使用扩展来生成更复杂的payload。

18.Copy other payload

  • 描述:这个payload类型允许用户从一个payload位置复制另一个位置的payload。例如,你可以将一个请求参数的值复制到另一个参数中。

  • 用途:当需要在不同的位置测试相同的payload,或者需要根据其他参数的值动态生成payload时,这个功能非常有用。

3.Target 模块的使用

Target模块是一个功能强大的工具,用于管理和分析在渗透测试期间涉及的目标应用程序。以下是Target模块的简要介绍:

  • 功能:Target模块提供了一个结构化的视图,帮助测试人员理解目标应用程序的结构、功能和潜在的安全漏洞。

  • 站点地图:该模块的核心是站点地图,它以可视化的方式展示应用程序的URL结构,包括所有的页面、目录和参数。

  • 应用程序分析

    • Scope:允许测试人员定义测试的范围,包括哪些URL应该包含在测试中,哪些应该排除。
    • Annotations:可以在站点地图上添加注释,记录观察到的信息或未来的测试计划。
    • Issues:Target模块会显示由其他Burp工具(如Scanner、Intruder等)发现的安全问题。

  • 内容发现

    • Spider:Target模块可以启动Spider工具来自动发现应用程序的内容。
    • Scanner:可以启动Scanner工具来自动识别已知的安全漏洞。

  • 手动测试

    • Repeater:Target模块允许将请求发送到Repeater工具进行手动测试和修改。
    • Decoder:可以快速解码或编码URL、HTML实体等。

  • 配置和监控

    • Cookies:可以查看和管理应用程序的cookies。
    • WebSockets:支持监控和分析WebSocket通信。
    • HTTP请求和响应:Target模块可以记录所有的HTTP请求和响应,便于后续分析。

  • 报告

    • Target模块可以生成详细的报告,总结应用程序的安全状况和发现的问题。

总的来说,Target模块是Burp Suite的一个组织中心,它帮助测试人员更好地理解、管理和测试目标应用程序,同时确保测试活动是有序和高效的。

接下来我将开始学习如何使用Target模块。

1.Site map

2.Scope

3.Issue definitions