从流量包匹配敏感信息的渗透神器

admin 2024年9月23日13:59:35评论9 views字数 1439阅读4分47秒阅读模式

声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧设为星标”,否则可能看不到了

工具作者@ChenDark师傅,首发于@PaperPen师傅的TimelineSec公众号,已经大P师傅同意转发分享。。

工具简介

从流量包匹配敏感信息的工具-可用作bp、浏览器的下游代理。0感知、无卡顿,支持https。
一直在使用一些工具插件,来检测流量中的ak、sk、sfz、敏感信息,但是网上的很多工具并不符合自己的习惯...运行起来会影响抓包、测试、卡顿等....
遂自己写了一个关于http/https流量中检测工具,可以设置为burp、yakit、爬虫等工具的下游代理,在测试结束后查看流量中的敏感信息

工具优势

  • 在检测敏感信息并且存储中会对uri进行判断,避免同一个uri多次访问而产生多条信息的存在

  • 占用内存较少,不会对burp等上游工具造成卡顿影响

  • 可以接入爬虫、bp等,对流量中的信息进行匹配检测

  • 目前只对Content-Type为text/html、application/json、application/javascript的类型流量进行劫持,大文件、图片信息等不进行劫持。加快检测速度!

  • 检测规则依赖于原生wih WIH 调用 - ARL 资产灯塔系统安装和使用文档 (tophanttechnology.github.io),目前支持规则的启停、支持用户自定义增加规则。

  • exclude_rules-规则排除检测正在开发中.....

使用说明

安装

运行程序后会在当前路径下生成证书、配置文件、数据库文件

从流量包匹配敏感信息的渗透神器

请先安装证书文件-选择受信任根证书颁发机构

从流量包匹配敏感信息的渗透神器

扫描匹配规则来自于WIH,若部分场景、case无检测到,可以自主根据规则添加、调优,方便的师傅可以提一个issue。

https://tophanttechnology.github.io/ARL-doc/function_desc/web_info_hunter/
如果需要使用消息提醒功能,请在rule.yaml中加入lark_Webhook的在群组中使用机器人(暂时只支持飞书消息提醒)
https://www.feishu.cn/hc/zh-CN/articles/360024984973-在群组中使用机器人

使用教程

运行后会显示默认的端口信息,以及飞书webhook地址。如果需要自定义端口可以看后面的编译说明

从流量包匹配敏感信息的渗透神器

可以将127.0.0.1:9080地址设置成BurpSuite、浏览器、爬虫的下游代理地址,具体操作如下

从流量包匹配敏感信息的渗透神器
从流量包匹配敏感信息的渗透神器

当在流量中的信息匹配到规则的时候,将会在控制台输出,同时也会写入本地db文件。若配置了webhook将会发送消息提醒

从流量包匹配敏感信息的渗透神器

在对站点渗透测试结束,可以打开数据库连接工具(navicat)等打开db文件,查看检测到的敏感信息详情。

从流量包匹配敏感信息的渗透神器

消息提醒效果如下

从流量包匹配敏感信息的渗透神器

关于规则,前面列举的内置规则此工具暂时还不支持,在接下来的版本会做优化和适配。

工具支持规则开关,若某个规则产生大量误报可以在enable字段进行关闭。
从流量包匹配敏感信息的渗透神器

TODO

内置规则支持企业微信、钉钉机器人支持日志存储、输出归一化消息提醒功能优化,避免大量检测出规则导致消息发送失败规则优化从JS、CSS等文件内拼接其他文件、接口路径,进行主动访问支持CSV文件导出检测规则热加载

下载地址

原文始发于微信公众号(Hack分享吧):从流量包匹配敏感信息的渗透神器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月23日13:59:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从流量包匹配敏感信息的渗透神器https://cn-sec.com/archives/3196451.html

发表评论

匿名网友 填写信息