介绍
本工具,是根据T3nk0的Upload_Auto_Fuzz的工具进行编写,很久以前就有编写upload fuzz想法了,但是感觉upload上传包多样,就没搞了,但是看到了这个T3nk0的项目,学习到了,还有这种方法,我感觉的话Jython支持不算好,而且我尝试下来,确实bug遇到不少,所以就有编写一个java版本的upload fuzz burp插件的想法,顺便还能输出一篇文章。
工具地址
Github地址:https://github.com/eeeeeeeeee-code/UploadFuzzBurp
如何编写burp插件(简单提一嘴)
1.环境配置(idea)
这里我使用的是Maven+java17,Maven的配置文件pom.xml主要设置三个方面,导入burp的api库
<properties><maven.compiler.source>17</maven.compiler.source><maven.compiler.target>17</maven.compiler.target><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding></properties>
<dependencies><dependency><groupId>net.portswigger.burp.extender</groupId><artifactId>burp-extender-api</artifactId><version>1.7.22</version></dependency></dependencies>
<build><plugins><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-assembly-plugin</artifactId><executions><execution><phase>package</phase><goals><goal>single</goal></goals></execution></executions><configuration><descriptorRefs><descriptorRef>jar-with-dependencies</descriptorRef></descriptorRefs></configuration></plugin></plugins></build>
2.流程编写
首先的就是设置主类,我们的功能点是在Intruder中的,所以要注册 Intruder payload生成器,然后创建一个UploadFuzzer实例,UploadFuzzer是我们的核心类。
具体的一些理解文章可以看一下这些之类的:https://github.com/jiangsir404/SecToolNote/blob/master/source/burpsuite/burp%20%E6%8F%92%E4%BB%B6%E5%BC%80%E5%8F%91%20-%20API%E6%8E%A5%E5%8F%A3(%E4%BA%8C).md
然后就是在UploadFuzzer类当中,我们实现一些初始化操作,从PayloadGenerator这个静态类中获取我们需要执行payload,然后进行爆破。
References
[1]: https://github.com/eeeeeeeeee-code/UploadFuzzBurp[2]: https://github.com/jiangsir404/SecToolNote/blob/master/source/burpsuite/burp%20%E6%8F%92%E4%BB%B6%E5%BC%80%E5%8F%91%20-%20API%E6%8E%A5%E5%8F%A3(%E4%BA%8C).md
原文始发于微信公众号(深潜sec安全团队):Burp 文件上传自动化绕过插件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论