本文记录了一次在安全测试中遇到的网站反代理检测问题,当使用BurpSuite时无法访问目标站点,而切换到Fiddler则可以正常抓包。经过排查,发现网站可能禁用了BurpSuite,而Fiddler由于不进行断点处理,从而避开了检测。最终通过Fiddler成功进行渗透测试。
记一次burp抓包出错排查
实际场景
今天本是安服狗日常测站的一天,网站打开是下面样子
正当我准备兴高采烈启动我的burpsuite开干时,刚设置好代理准备抓包,网站直接访问不了了
这里我就怀疑自己了,是自己的证书没有装吗,当时一想也不可能,以前都测过那么多https的站,都没有出现过问题,怎么可能唯独这次出问题呢。
然后我就尝试了使用burpsuite自带的浏览器进行访问,直接让电脑全局代理进行访问,发现都是直接访问不了。
问题摸查
然后我就开始上百度查找解决方案,看到一篇文章
http://t.zoukankan.com/cwkiller-p-13846754.html
根据他的描述我去抓包发现数据包字段确实存在Connection: close头部,然后根据他的描述将下图的此处取消勾选
然而我去访问网站时发现还是不能进行访问
然后这里我就猜测可能网站有反代理检测,于是我就想到用Proxifier和burpsuite联动一波
打开Proxifier,新建代理服务器
添加一个代理服务器
地址和端口指向burpsuite监听地址和端口
点击检查测试一下
代理服务器设置好后,设置代理规则
添加一条规则,应用程序指向要抓包的程序,这里我是用的firefox,然后动作是Proxy HTTPS 127.0.0.1
然后点击确定,这里Default的动作设置为Direct
然后点击确定
打开火狐,这里先以百度抓包测试一下,可以看到我是没有开启代理的
然后把burpsuite的开关打开
刷新一下网页
可以看到这里是抓到包了,这里说明已经绕过了反代理检测的机制了,但是当我欣喜若狂的去访问目标网站时,网站依然是打不开
这里我就非常疑惑了,竟然使用代理网站就不能访问,那为什么我绕过了反代理检测还是不能访问呢,于是就产生了ban掉了burpsuite的想法,怀着怀疑的心思,我尝试用fiddler进行抓包
网站正常访问,并且也能正常抓到数据包,这不得不加大了我对ban掉了burpsuite的怀疑,于是我尝试fiddler和burpsuite联动一波
可以看到抓取百度的包是正常的
然后去访问目标网站,再次挂掉
直接震惊我了,这也证实了我的想法,这个网站竟然ban掉了burpsuite,排查也到这里就结束了,最后也是没有办法的办法只能用fiddler进行抓包和渗透
后续
后来针对这个问题我也是想了很久和查了很多资料,得到的一个回答是用fiddler能行,是因为fiddler没有对包进行断点,而burpsuite的机制,就是断点处理数据,这个站他会定时的抽检数据包,然后客户端定时返回,然后如果服务端没有接收到的话,他就认为这个东西丢包了。
扫一扫
2580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
