burp自定义解密数据插件

admin 2025年2月26日13:37:17评论27 views字数 2820阅读9分24秒阅读模式

续上之前一篇文章《某app测试》里所立的一个flag:明文传,明文响应;密文传,密文响应

0x01 背景

当数据包里都是密文,我们无从下手;就算是获得了加解密的一些关键信息,能解密出来,但是每个数据包我们都需要慢慢解密,请求包需要解密,响应包也需要解密,比较麻烦,所以它—autoDecoder来了

其实取auto这个名字并不是真正的auto,加解密算法还是需要自己去逆出来的,只是相对于数据包里的密文来说,可以算是半自动

0x02 优点

  1. 明文传,明文响应;密文传,密文响应,不影响原本通讯包的基础上,增加一个bp扩展页面查看明文信息
  2. 自定义加解密的接口,当存在复杂数据加密的时候,可以自行编写python代码对接口进行加解密, 自定义需要加解密域名,即开即用

0x03 插件的加解密方式

  1. 直接通过插件自带的算法去加解密数据包(较为简单,仅支持部分AES、DES、DESede加密)
  2. 通过python的flask接口去编写加解密数据包的api(不一定是flask框架,也可以用其他框架,只需要接口地址正确且加解密流程正确即可)
具体来说说加解密的方式
  • 自带算法进行加解密

支持较为简单的AES/CBC/PKCSPadding、AES/ECB/PKCSPadding等简单加解密方法,适合请求包或者响应包全部为加密的内容传参,如下文举例中的《使用自带算法进行加解密》章节

  • 自定义接口进行加解密

自定义加解密的内容,默认传入的参数是整个请求体(request body)与整个响应体(response body),支持复杂的加解密算法,当然,这些都需要自行去写代码解密了

0x04 举例

这里主要考虑到很多app的请求是多个的,上一个请求获取到的响应包会自动解密并且获取里面的参数,而获取到的参数中有下一个请求包的参数,如果将密文替换为明文进行回显,那么程序就会报错

当burp里指定域名的请求包是明文,那么响应包会自动响应明文

为了方便理解,以testsql.php这个测试文件举例,testsql.php是一个以DES加密请求包和响应包的测试页面,存在SQL注入漏洞

{"id":"2"}举例,加密后的密文为Gh9+wH+QSIkOwCj/QK/Kiw==

使用自带算法进行加解密

插件配置如下:

burp自定义解密数据插件

原始请求如下

burp自定义解密数据插件

点击autoDecoder

burp自定义解密数据插件

再次点击Send按钮进行请求,响应包自动解密

burp自定义解密数据插件

也可以直接拿sqlmap进行测试,为做对比,先关闭插件的加解密

burp自定义解密数据插件

直接明文进行sqlmap跑注入,代理到proxy,增加命令 --proxy=http://127.0.0.1:8080

数据包如下:

burp自定义解密数据插件

burp里sqlmap的第一个请求数据包如下:

burp自定义解密数据插件

跑不出来注入(没有启动插件,传参是明文,所以无回显)

sqlmap结果

burp自定义解密数据插件

开启插件:

burp自定义解密数据插件

再次使用sqlmap,代理到proxy,增加命令 --proxy=http://127.0.0.1:8080

burp里sqlmap的第一个请求(启动了插件,传参是明文,会自动加密,所以有回显)

burp自定义解密数据插件

sqlmap结果

burp自定义解密数据插件
burp自定义解密数据插件

注入成功跑出

使用自定义接口进行加解密

python代码如下:

# -*- coding:utf-8 -*-
# author:f0ngf0ng

from flask import Flask,Response,request
from pyDes import *
import base64

def des_encrypt(s):
    """
    DES 加密
    :param s: 原始字符串
    :return: 加密后字符串,16进制
    """

    secret_key = "f0ngtest"
    iv = "f0ngf0ng"
    k = des(secret_key, CBC, iv, pad=None, padmode=PAD_PKCS5)
    en = k.encrypt(s, padmode=PAD_PKCS5)
    return base64.encodebytes(en).decode()

def des_decrypt(s):
    """
    DES 解密
    :param s: 加密后的字符串,16进制
    :return:  解密后的字符串
    """

    secret_key = "f0ngtest"
    iv = "f0ngf0ng"
    k = des(secret_key, CBC, iv, pad=None, padmode=PAD_PKCS5)
    de = k.decrypt(base64.decodebytes(bytes(s,encoding="utf-8")), padmode=PAD_PKCS5)
    return de.decode()

app = Flask(__name__)

@app.route('/encode',methods=["POST"])
def encrypt():
    param = request.form.get('data')  # 获取  post 参数
    encry_param = des_encrypt(param.strip("n"))
    print(param)
    print(encry_param)
    return encry_param

@app.route('/decode',methods=["POST"])
def decrypt():
    param = request.form.get('data')  # 获取  post 参数
    decrypt_param = des_decrypt(param.strip("n"))
    print(param)
    print(decrypt_param)
    return decrypt_param

if __name__ == '__main__':
    app.debug = True # 设置调试模式,生产模式的时候要关掉debug
    app.run(host="0.0.0.0",port="8888")

插件配置如下:

burp自定义解密数据插件

原始请求如下:

burp自定义解密数据插件

点击autoDecoder

burp自定义解密数据插件

再次请求

burp自定义解密数据插件

sqlmap使用也是一样的,代理到burp即可,这里不再赘述

实战环境中

APP1

burp自定义解密数据插件

APP2

burp自定义解密数据插件

0x05 总结

  1. 越来越多的小程序、app都使用了加密算法,要想更容易挖到漏洞,对于加解密的知识还是要有所了解的。
  2. 对于这种加解密的程序,其实也可以用被动漏扫,上游代理解密和下游代理加密,中间穿插被动漏扫,有时间也可以记录下。

0x06 附录

https://github.com/f0ng/autoDecoder

https://mp.weixin.qq.com/s/_7wSWy0gIMMZmVeOtFgdsw     [某APP测试]

原文始发于微信公众号(only security):burp自定义解密数据插件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月26日13:37:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   burp自定义解密数据插件https://cn-sec.com/archives/938772.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息