内置规则 主要是在被动扫描部分,从mitm经过的请求包/返回包会在这部分进行规则匹配,在渗透测试过程中,我们会常常发现有信息泄漏、框架指纹、密钥、配置信息泄漏等,他们都在返回包的不同位置进行展示,我们可以编写规则来进行检测。
在yak中也内置了一部分内容规则来使用,我们可以点击右侧的齿轮⚙️来进行查看和编写规则。内置的规则偏向于信息泄漏部分,可以扩充自己的cms或者OA的指纹规则,或者导入自己的规则。(也可以勾选mitm插件)格式为:
[ { "Rule": "M1-Server 已启动,您可以使用移动设备登录M1", "NoReplace": true, "Color": "green", "EnableForResponse": true, "EnableForHeader": true, "EnableForBody": true, "Index": 1, "ExtraTag": [ "致远 M1" ], "VerboseName": "致远 M1" } ]
下游代理的意思是,请求在经过yak-mitm之后流向的一个下游监听地址。可以配置但不仅限于下面的几种。
-
内网穿透在公网上的映射(内网渗透常用,无特征)
-
出口代理可以配置本地的出口代理,比如clash,v2ray等
-
和扫描器进行联动使用。
使用前请先安装证书,参考 Yakit 证书安装。
热加载指的是在我们mitm在对经过流量的request、response进行hook,主要分为下面几种。
流量镜像:
-
mirrorHTTPFlow:镜像全流量
-
mirrorFilteredHTTPFlow:镜像过滤流量
-
mirrorNewWebsite:每新出现一个网站,这个网站的第一个请求,将会在这里被调用!
-
mirrorNewWebsitePath:每新出现一个网站路径,关于这个网站路径的第一个请求,将会在这里被传入回调
-
mirrorNewWebsitePathParams:每新出现一个网站路径且带有一些参数,参数通过常见位置和参数名去重,去重的第一个 HTTPFlow 在这里被调用
流量劫持:
-
hijackHTTPRequest:劫持http流量。
-
beforeRequest:发送到服务端之前进行hook。
-
afterRequest:再对返回包进行hook。
上面介绍了这么多的流量镜像函数和流量劫持函数,在热加载的时候到底如何正确的使用,将通过下面的几个常见场景来进行介绍。
场景分析1:对网站的返回包进行分析
下面针对于网站返回包中含有js代码,我们想获取到js中的请求路径,我们选择的是mirrorNewWebsitePath。启动一个简单的demo,返回包的内容如下。
[ { "Rule": "M1-Server 已启动,您可以使用移动设备登录M1", "NoReplace": true, "Color": "green", "EnableForResponse": true, "EnableForHeader": true, "EnableForBody": true, "Index": 1, "ExtraTag": [ "致远 M1" ], "VerboseName": "致远 M1" } ]
在热加载中使用的代码为:
思路:用xpath取出script中的内容,用
syntax-flow来进行js分析
mirrorNewWebsitePath = func(isHttps /*bool*/, url /*string*/, req /*[]byte*/, rsp /*[]byte*/, body /*[]byte*/) { htmlnode:=xpath.LoadHTMLDocument(string(body))~ res = xpath.Find(htmlnode, `//script`) for _,node :=range res{ script = xpath.InnerText(node) if script!=""{ prog:=ssa.Parse(script.Trim(" ","\n"), ssa.withLanguage(ssa.Javascript))~ result :=prog.SyntaxFlowWithError(`.open(,* #-> * as $param)`)~ yakit_output(result.GetAllValues()) } }}
场景分析2:对请求包中的某个参数进行加密或者修改
选择到的hijackHTTPRequest或者beforeRequest,这里我选择使用hijackHTTPRequest,需求:我们需要手动添加auth header头。加密可以使用codec里面的插件
hijackHTTPRequest = func(isHttps, url, req, forward /*func(modifiedRequest []byte)*/, drop /*func()*/) { req = poc.ParseBytesToHTTPRequest(req)~ if req.Host=="10.211.55.11:8133"{ forward(poc.ReplaceHTTPPacketHeader(req, "Auth", "123")) }else{ return req }}
场景分析3:对返回包进行解密
可以选择hijackHTTPResponse、afterRequest,这里选择一个hijackHTTPResponse,场景需求:返回包内容是进行的base64解密,我们需要进行解密。热加载代码如下
hijackHTTPResponse = func(isHttps, url, rsp, forward, drop) { host,port = str.ParseStringToHostPort(url)~ if host=="10.211.55.11"{ body = poc.GetHTTPPacketBody(rsp) _body = codec.DecodeBase64(body)~ forward(poc.ReplaceHTTPPacketBody(rsp, _body)) }else{ forward(rsp) }}
yak-mitm在多个场景中有不同的应用,热加载模式是可以直接对request和response进行劫持和hook,可以和ssa进行很好的融合。是一个非常方便的功能。内置规则和内置插件也在渗透测试过程中有发挥更好的效果。
END
260
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
