【BurpSuite】插件开发学习之J2EEScan(上)-被动扫描

已于 2022-09-08 22:44:26 修改
阅读量774 收藏
点赞数
分类专栏: BurpSuite插件 文章标签: 学习 java-ee java
于 2022-08-30 23:14:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiru9972/article/details/126527296
版权

【BurpSuite】插件开发学习之J2EEScan(上)-被动扫描

前言

插件开发学习第5套。前置文章:

【BurpSuite】插件开发学习之Log4shell
【BurpSuite】插件开发学习之Software Vulnerability Scanner
【BurpSuite】插件开发学习之dotnet-Beautifier
【BurpSuite】插件开发学习之active-scan-plus-plus

J2EEScan

https://github.com/PortSwigger/j2ee-scan.git
逻辑代码在

|____src
| |____main
| | |____java
| | | |____burp
| | | | |____HTTPMatcher.java
| | | | |____J2EELFIRetriever.java
| | | | |____SoftwareVersions.java
| | | | |____WeakPasswordBruteforcer.java
| | | | |____j2ee
| | | | | |____PassiveScanner.java
| | | | | |____Confidence.java
| | | | | |____annotation
| | | | | | |____RunOnlyOnce.java
| | | | | | |____RunOnlyOnceForApplicationContext.java
| | | | | |____Risk.java
| | | | | |____passive
| | | | | | |____SessionFixation.java
| | | | | | |____ApacheStrutsS2023Rule.java
| | | | | | |____JettyRule.java
| | | | | | |____HttpServerHeaderRule.java
| | | | | | |____SqlQueryRule.java
| | | | | | |____PassiveRule.java
| | | | | | |____strutstoken
| | | | | | | |____StrutsTokenCracker.java
| | | | | | | |____ReplayRandom.java
| | | | | | |____ApacheTomcatRule.java
| | | | | | |____SessionIDInURL.java
| | | | | | |____JSPostMessage.java
| | | | | | |____ExceptionRule.java
| | | | | |____IssuesHandler.java
| | | | | |____lib
| | | | | | |____TesterAjpMessage.java
| | | | | | |____SimpleAjpClient.java
| | | | | |____issues
| | | | | | |____impl
| | | | | | | |____OracleEBSSSRF.java
| | | | | | | |____OracleEBSSSRFLCMServiceController.java
| | | | | | | |____ApacheStrutsS2032.java
| | | | | | | |____NodeJSRedirect.java
| | | | | | | |____ApacheRollerOGNLInjection.java
| | | | | | | |____ApacheStrutsDebugMode.java
| | | | | | | |____ApacheAxis.java
| | | | | | | |____HTTPWeakPassword.java
| | | | | | | |____HTTPProxy.java
| | | | | | | |____PrimeFacesELInjection.java
| | | | | | | |____WeblogicUDDIExplorer.java
| | | | | | | |____ApacheStrutsS2052.java
| | | | | | | |____JBossWebConsole.java
| | | | | | | |____EL3Injection.java
| | | | | | | |____XXEParameterModule.java
| | | | | | | |____UndertowTraversal.java
| | | | | | | |____LFIModule.java
| | | | | | | |____ApacheStrutsS2043.java
| | | | | | | |____FastJsonRCE.java
| | | | | | | |____OracleReportService.java
| | | | | | | |____SnoopResource.java
| | | | | | | |____JBossJMXReadOnly.java
| | | | | | | |____WebInfInformationDisclosure.java
| | | | | | | |____XInclude.java
| | | | | | | |____JavaServerFacesTraversal.java
| | | | | | | |____Seam2RCE.java
| | | | | | | |____WeblogicConsole.java
| | | | | | | |____RESTAPISwagger.java
| | | | | | | |____JettyRemoteLeakage.java
| | | | | | | |____JBossJMXInvoker.java
| | | | | | | |____OASConfigFilesDisclosure.java
| | | | | | | |____JacksonDataBindCVE20177525.java
| | | | | | | |____XXEModule.java
| | | | | | | |____WeblogicCVE20192725.java
| | | | | | | |____WeblogicWebServiceTestPageCVE20182894.java
| | | | | | | |____JKStatus.java
| | | | | | | |____WeblogicCVE201710271.java
| | | | | | | |____LFIAbsoluteModule.java
| | | | | | | |____ApacheStrutsS2016.java
| | | | | | | |____ApacheStrutsShowcase.java
| | | | | | | |____ApacheStrutsWebConsole.java
| | | | | | | |____ApacheStrutsS2020.java
| | | | | | | |____StatusServlet.java
| | | | | | | |____UTF8ResponseSplitting.java
| | | | | | | |____TomcatHostManager.java
| | | | | | | |____SpringBootRestRCE.java
| | | | | | | |____PivotalSpringTraversalCVE20143625.java
| | | | | | | |____Htaccess.java
| | | | | | | |____JBossjBPMAdminConsole.java
| | | | | | | |____ELInjection.java
| | | | | | | |____NodeJSPathTraversal.java
| | | | | | | |____ApacheStrutsS2017.java
| | | | | | | |____ApacheSolrXXE.java
| | | | | | | |____OASSqlnetLogDisclosure.java
| | | | | | | |____NodeJSResponseSplitting.java
| | | | | | | |____URINormalizationTomcat.java
| | | | | | | |____JBossWS.java
| | | | | | | |____SpringCloudConfigPathTraversal.java
| | | | | | | |____InfrastructurePathTraversal.java
| | | | | | | |____AJPDetector.java
| | | | | | | |____JBossAdminConsole.java
| | | | | | | |____SSRFScanner.java
| | | | | | | |____SpringDataCommonRCE.java
| | | | | | | |____JavascriptSSRF.java
| | | | | | | |____ApacheWicketArbitraryResourceAccess.java
| | | | | | | |____SpringBootActuator.java
| | | | | | | |____IDocInjection.java
| | | | | | | |____TomcatManager.java
| | | | | | | |____NextFrameworkPathTraversal.java
| | | | | | | |____OracleCGIPrintEnv.java
| | | | | | | |____JBossJuddi.java
| | | | | | | |____AJP_Tomcat_GhostCat.java
| | | | | | | |____SpringWebFlowDataBindExpressionCVE20174971.java
| | | | | | |____IModule.java
| | | | | |____CustomScanIssue.java
| | | | |____J2EELocalAssessment.java
| | | | |____WeakPassword.java
| | | | |____HTTPParser.java
| | | | |____CustomHttpRequestResponse.java
| | | | |____BurpExtender.java

这个代码是基于java写的

BurpExtender

老样子,继承BurpExtender

class BurpExtender(IBurpExtender):

基本信息也和java差不多

public void registerExtenderCallbacks(final IBurpExtenderCallbacks callbacks) {
        // keep a reference to our callbacks object
        this.callbacks = callbacks;
        this.callbacks.registerExtensionStateListener(this);
        // obtain an extension helpers object
        helpers = callbacks.getHelpers();
        // obtain our output stream
        stdout = new PrintWriter(callbacks.getStdout(), true);
        stderr = new PrintWriter(callbacks.getStderr(), true);

        // set our extension name
        callbacks.setExtensionName("J2EE Advanced Tests");

然后创建了一个临时数据库文件并连接了

j2eeDBState = File.createTempFile("burpsuite-j2eescan-state", ".db");
            stdout.println("Using temporary db state file: " + j2eeDBState.getAbsolutePath());
            stdout.println("This internal state is used to avoid duplicate infrastructure security "
                    + "checks on the same host, improving the scan performance");

            connectToDatabase(j2eeDBState.getAbsolutePath());

初始化的数据库表executed_plugins

String fields = "plugin, host, port";

        conn.createStatement().executeUpdate("CREATE TABLE IF NOT EXISTS executed_plugins ("
                + " plugin TEXT PRIMARY KEY,"
                + " host TEXT,"
                + " port INTEGER,"
                + " UNIQUE(" + fields + "))");

doPassiveScan

重写了被动扫描,在PassiveScanner这个类里。

PassiveScanner.scanVulnerabilities(baseRequestResponse, callbacks);

遍历如下规则进行扫描

static PassiveRule[] PASSIVE_RULES = {
            new ApacheTomcatRule(),
            new ExceptionRule(),
            new HttpServerHeaderRule(),
            new SqlQueryRule(),
            new ApacheStrutsS2023Rule(),
            new JettyRule(),
            new SessionIDInURL(),
            new JSPostMessage(),
            new SessionFixation()
    };

一个一个看,

ApacheTomcatRule
【1】tomcat版本发现

Risk.Low

Pattern.compile("Apache Tomcat/([\\d\\.]+)"
【2】tomcat远程jvm虚拟机

Risk.Information

Pattern.compile("\"><small>(1\\.\\d\\.[\\w\\-\\_\\.]+)<"
ExceptionRule
【3】Apache Struts 测试页面

判断struts是开发环境还是dev环境
Risk.Low

"<title>Struts Problem Report</title>".getBytes();
【4】Apache Tapestry 异常错误展示

Risk.Low

            byte[] tapestryException = "<h1 class=\"t-exception-report\">An unexpected application exception has occurred.</h1>".getBytes();
【5】Grails 异常错误展示

Risk.Low

            byte[] grailsException = "<h1>Grails Runtime Exception</h1>".getBytes();
【6】GWT 异常错误展示

Risk.Low

            byte[] gwtException = "com.google.gwt.http.client.RequestException".getBytes();
【7】java 常见的应用异常错误展示

Risk.Low

List<byte[]> javaxServletExceptions = Arrays.asList(
                    "javax.servlet.ServletException".getBytes(),
                    "οnclick=\"toggle('full exception chain stacktrace".getBytes(),
                    "at org.apache.catalina".getBytes(),
                    "at org.apache.coyote.".getBytes(),
                    "at org.jboss.seam.".getBytes(),
                    "at org.apache.tomcat.".getBytes(),
                    "<title>JSP Processing Error</title>".getBytes(),  // WAS
                    "The full stack trace of the root cause is available in".getBytes());
                    "<pre><code>com.sun.facelets.FaceletException".getBytes(),
                    "Generated by MyFaces - for information on disabling".getBytes(),
                    "<title>Error - org.apache.myfaces".getBytes(),
                    "org.primefaces.webapp".getBytes());

HttpServerHeaderRule

http 头泄露应用版本号

【8】Java&Jetty &GlassFish&Weblogic
Pattern.compile("java\\/([\\d\\.\\_]+)"
Pattern.compile("Jetty.([\\d\\.]+)"
Pattern.compile("GlassFish Server Open Source Edition ([\\d\\.]+)"
Pattern.compile("WebLogic (:?Server )?([\\d\\.]+)"
【10】 oracle
ORACLE_APPLICATION_SERVER_RE.add(Pattern.compile("Oracle Application Server Containers for J2EE 10g \\(([\\d\\.]+)\\)", Pattern.DOTALL));
ORACLE_APPLICATION_SERVER_RE.add(Pattern.compile("Oracle.Application.Server.10g\\/([\\d\\.]+)", Pattern.DOTALL));
ORACLE_APPLICATION_SERVER_RE.add(Pattern.compile("Oracle Application Server\\/([\\d\\.]+)", Pattern.DOTALL));
ORACLE_APPLICATION_SERVER_RE.add(Pattern.compile("Oracle9iAS\\/([\\d\\.]+)", Pattern.DOTALL));
【11】nodejs
if (xPoweredByHeader.trim().equals("Express")) {

SqlQueryRule

【12】SQL exception
SQL_QUERIES_RE.add(Pattern.compile("select ", Pattern.CASE_INSENSITIVE | Pattern.DOTALL | Pattern.MULTILINE));
SQL_QUERIES_RE.add(Pattern.compile("IS NOT NULL", Pattern.CASE_INSENSITIVE | Pattern.DOTALL | Pattern.MULTILINE));

ApacheStrutsS2023Rule

【13】StrutsTokenCracker

提取token

    private final Pattern TOKEN_FIELD_PATTERN = Pattern.compile("<input type=\"hidden\" name=\"token\" value=\"([^\"]+)\"");

转int,按固定长度切割

 int[] tokenInts = bytesToInt(bigIntToByte(token));

根据int找到seed

        long seed = findSeed(reverseByteOrder(tokenInts[1]), reverseByteOrder(tokenInts[2]));

根据种子预测随机数,和就token匹配,如果能匹配上,说明种子是对的,也就是说明token可预测。

int[] nextInts = new int[4];
        for(int i=0;i<nextInts.length;i++) {
            nextInts[i] = reverseByteOrder(random.nextInt());
        }

        boolean match1 = tokenInts[2] == nextInts[0];
        boolean match2 = tokenInts[3] == nextInts[1];
        boolean match3 = tokenInts[4] == nextInts[2];

JettyRule

【14】Jetty发现
    private static final Pattern JETTY_PATTERN = Pattern.compile("><small>Powered by Jetty", Pattern.DOTALL | Pattern.MULTILINE);

SessionIDInURL

【15】Session Token in URL
    private static final List<String> SESSIONIDs = new ArrayList<>(Arrays.asList(";jsessionid"));

JSPostMessage

【16】JSPostMessage函数

js的跨域信息通信的函数。

POSTMESSAGE_PATTERNS.add(Pattern.compile(".addEventListener\\(\"message", Pattern.CASE_INSENSITIVE | Pattern.DOTALL | Pattern.MULTILINE));
POSTMESSAGE_PATTERNS.add(Pattern.compile("window\\).on\\(\"message", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE));
POSTMESSAGE_PATTERNS.add(Pattern.compile(".postMessage\\(", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE));

SessionFixation

【17】session fixation attack(固定会话攻击)

先检查url,这个检查很粗糙,直接判断后缀,还是黑名单,没有后缀就默认通过

isJavaApplicationByURL(curURL)

在这里插入图片描述

然后条件是请求包有JSESSIONID且返回包含有账号等信息

if (requestCookie != null && requestCookie.contains("JSESSIONID")) {
            String reqBodyLowercase = reqBody.toLowerCase();

if (reqBodyLowercase != null
                    && (reqBodyLowercase.contains("password") || reqBodyLowercase.contains("pwd") || reqBodyLowercase.contains("passw"))
                    && (reqBodyLowercase.contains("user") || reqBodyLowercase.contains("uid") || reqBodyLowercase.contains("mail"))) {

并且返回包没有setcookie(说明固定了会话),或者setcookie字段里包含JSESSIONID
这种校验比较粗糙,注释也说了

Due to the nature of the vulnerability, this check is prone to False Positives and must be manually confirmed
在这里插入图片描述

后话

主动扫描有点多,放在一个文章显得有点重,拆成两个。

_HWHXY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burpsuite插件开发文API文档
10-27
本API主要将wooyun作者Her0in所写的burp插件开发API整理成了CHM文文档,方便burp插件开发小菜鸟查阅。详情请见笔者博客。
burp插件-J2EEScan-1.2.5
05-30
编译好的burp插件J2EEScan-1.2.5,包含依赖库,可直接导入burp使用
Burpsuite被动探测与递归目录探测插件|漏洞探测
最新发布
Javachichi的博客
04-18 490
Recursion-Scan按钮:递归扫描,点击后会获取PATH的所有路由,然后递归对当前网站的每一层路径进行扫描。Scan按钮:点击后会获取PATH的所有路由,对当前网站发起扫描,根目录为Scan Root Path的值。ReqDisplay面板用来存储获取到路由的网站host头,与当前网站获取的路由,以及当前网站的扫描结果。Config面板用来设置插件被动探测的一些配置,此面板的配置会应用到所有匹配的网站。ExSuffix(排除匹配相应的后缀列表,符合列表后缀的请求将不会在响应匹配路由)
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效,非常好用老版的BurpSuite和新版的都可以使用。祝大家挖洞顺利(工具仅用于学习交流)
Burpsuite-JSScan:burpsuite插件:主动和被动进行JS扫描并分析其的可利用点
05-23
Burpsuite JsScan 插件 burpsuite插件:主动和被动进行JS扫描 目前实现了主动扫描被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只分析自定义JS,有效发现目标 将扫描到的自定义JS文件自动添加到自带字典,逐步完善字典 拓展 具体可利用点的分析,例如ajax语法等(在github上发现了外国大佬用python写这个burp插件) 关于解析JS,参考https://github.com/Threezh1/JSFinder的实现,基于一个大正则,外国大佬的工具也是基于这个大正则 其实关于可利用点和隐藏接口等,手动分析最佳,插件帮你快速找出JS文件的URL即可 简单使用方式 主动扫描功能输入JS路径就可以开始(https://www.xxx.com/static/js/),相当于一
BurpSuite插件
mingyqf的博客
02-12 8463
Burp Extensions BurpSuite 相关收集项目,插件主要是非BApp Store(商店) 插件的安装 JAVA编写的插件: Python编写的插件: Python编写的插件,需要使用Jython。Jython本质上是一个Java应用程序,Jython允许编码人员使用Java编码调用Python库。也可以使用Python调用Java的库。 Jython下载地址: https://www.jython.org/download 下载好之后,添加到Burp。 导入Python编写的插件,导
BurpSuite—-Scanner模块(漏洞扫描)
Dasdwer的博客
05-22 827
使用的大多数的 web 扫描器都是单独运行的:你提供了一个开始 URL,单击‖go‖,然后注视着进度条的更新直到扫描结束,最后产生一个报告。使用的大多数的 web 扫描器都是单独运行的:你提供了一个开始 URL,单击‖go‖,然后注视着进度条的更新直到扫描结束,最后产生一个报告。包含Burp扫描选项进行攻击的插入点,主动扫描引擎,主动扫描优化,主动扫描区和被动扫描区域。包含Burp扫描选项进行攻击的插入点,主动扫描引擎,主动扫描优化,主动扫描区和被动扫描区域。当浏览时自动发送漏洞利用代码。
BurpSuite学习-扫描
weixin_49349476的博客
04-24 2310
Burpsuite扫描分为主动扫描被动扫描。主动扫描主要针对客户端的漏洞和服务端的漏洞。被动扫描针对提交的密码为未加密的明文。不安全的cookie的属性、例如缺少HttpOnly和安全标志、cookie的范围缺失等
Burpsuite-UAScan:burpsuite插件被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
BurpSuite插件开发学习J2EEScan(下)-主动扫描(11-20)
HWHXY的博客
09-03 624
插件开发学习第7套。继续上一章的分析。
BurpSuite插件开发学习J2EEScan(下)-主动扫描(61-76)
HWHXY的博客
09-19 361
插件开发学习第11套。
BurpSuite与Xray联动进行被动扫描实战
永远是少年
01-01 1449
今天继续给大家介绍渗透测试相关知识,本文主要内容是BurpSuite与Xray联动进行被动扫描实战。 一、xray简介与下载 二、BurpSuite与xray联动简介 三、BurpSuite与xray联动实战
burpsuite十大模块详细功能介绍【2023版】
热门推荐
05-20 2万+
超详细的burp简介
Burp 扩展武器库
黑剑
03-19 3040
CORS 跨域漏洞 插件 分为简单的请求、非简单的请求简单简单的自动请求自动使用Origin,返回结果为浏览器包含请求:Access-Control-Allow-Origin: origin_host or * Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: response_header1, response_header2 简单简单的浏览器发送预检请求,即发送请求方法,如果预检请求通过非请求请求,再次发送Opt
BurpSuite插件开发指南之 API 下篇
weixin_33809981的博客
03-08 614
Her0in · 2016/04/12 10:590x00 前言此文是接着 《BurpSuite插件开发指南之 API 上篇》 所写,此篇将要介绍的 API 和上篇有着紧密的联系,所以建议读者可以将上下篇作为一个整体去看待。《BurpSuite 插件开发指南》系列文章如下:《BurpSuite插件开发指南之 API 篇》《BurpSuite插件开发指南之 Java 篇》《BurpSuite插件开...
BurpSuite插件开发学习J2EEScan(下)-主动扫描(31-40)
HWHXY的博客
09-13 317
插件开发学习第8套。继续上一章的分析。
BurpSuite插件开发学习J2EEScan - 汇总篇(主动+被动1-76)
HWHXY的博客
09-19 1万+
为了方便查阅,将下列文章合并
Burp Suite-第七章 如何使用Burp Scanner
weixin_44122303的博客
07-24 2385
BurpScanner的功能主要是用来自动检测web系统的各种,我们可以使用BurpScanner代替我们手工去对系统进行普通漏洞类型的渗透测试,从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。在使用BurpScanner之前,我们除了要正确配置BurpProxy并设置浏览器代理外,还需要在BurpTarget的站点地图存在需要扫描的域和URL模块路径。如下图所示。...
BurpSuite使用详解(四)Scanner功能
weixin_38115199的博客
02-28 7161
BurpSuite scanner功能Scanner 漏扫功能使用前准备 Scanner 漏扫功能 扫描模块用于自动化检测漏洞,分为被动和主动扫描,是BurpSuite最强大功能之一。 使用前准备 首先使用proxy模块,拦截请求,得到目标域名,然后将目标域名添加到scope,关闭proxy拦截功能,开启spider模块。 ...
burpsuite插件
07-27
您好!对于Burp Suite,它是一款常用的Web应用程序安全测试工具。它提供了许多功能,其包括插件系统,可以通过插件扩展功能以下是一些常用的Burp Suite插件: 1. Turbo Intruder:用于自定义和自动化攻击的插件。 2. SQLMap:用于自动化SQL注入检测和利用的插件。 3. Logger++:用于记录和分析HTTP请求和响应的插件。 4. ActiveScan++:增强Burp的主动扫描功能,提供更全面的漏洞检测。 5. CO2:用于发现和验证SSRF漏洞的插件。 6. J2EEScan:用于检测和利用Java EE应用程序的漏洞的插件。 7. Retire.js:用于检测应用程序使用的旧版本JavaScript库和框架的插件。 这只是一小部分Burp Suite插件,还有很多其他插件可以根据您的需求进行安装和使用。您可以在Burp Suite的官方网站或第三方开发者社区上找到更多插件资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值