Burpsuite插件开发之RSA加解密

burpsuite是一款非常好用的抓包工具,我自己也是重度用户,所以就上手了burpsuite的插件接口开发,本文主要记录了一个解密请求包,插入payload,再加密的插件开发过程,插件应用场景主要是用于通过分析apk的实现。这里做探讨的目的只是方便安全测试人员的个人学习,或大家渗透测试使用。

10年积累的成都网站建设、做网站经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先做网站设计后付款的网站建设流程,更有余干免费网站建设让你可以放心的选择与我们合作。

详细的代码见github代码,在文档中数据首先是以rsa方式加密des的key得到encryptKey,然后使用des的key加密数据包得到data,再组装成一个JSON格式串,这是加密过程,当然解密过程就是逆向的。插件应用场景主要是用于通过分析apk的实现,或者泄露的密钥,获取其加解密算法,在解密后的数据包中插入payload,发现注入问题等。

如下则是加密后的数据包:

 
 
 
 
    
  
  
  
  
  1. c={ 
    2.   
  
  
  
  2.  
    3.   
  
  
  
  3.  "data":"21BhviedgtbwK6rdlK7vzltqxOLxUmU2g5qaO5LWPYTha5fXslmL6jrMkFnJBwpZPZMNl5foxTUHw2Mae++zkWwtzWkKXI9WJ/CJqxO9uORT5I6iUmIG7bBcgnHpmlSNKfFwBvnr9vj3v5ByvW2s2/pL9rSaeD+/8XsX01NA96mC4g5pVBeU5IY9F4tdxH9yobXfN6GzEVhLeiEd30xzMA\u003d\u003d", 
    4.   
  
  
  
  4.  
    5.   
  
  
  
  5.  "encryptKey":"bjWZgigAW/ZaAA55v7Yi9AGt2qsP7BfZZISu70qc/xVUVfh5L/Mw/mMbzxkcZ6uXb1vvgXvF7hHYwjsVzvEkRK0rIfIwkcYzn160fvQ/8+F8YBMDLzTEhf8r0KjOLlJV+HgOsS4QG/G9lOU5mnupfrVA9sf54b3OvXHU0TQVG7U\u003d" 
    6.   
  
  
  
  6.  
    7.   
  
  
  
  7.  } 
    8.

从数据库包能看到大的数据是一个json格式,里面有data,和encryptKey值,encryptKey就是使用RSA加密des 的key得到的,RSA的工作方式和pem文件可通过界面设置,再接着用这个key采用des方式解密data中的内容。操作界面如下:

2、InsertPoint 接口

InsertPoint顾名思义就是注入点,就是payload插入的地方,比如request中的cookie,参数等位置。为了对一些burpsuite不支持的参数格式进行支持就必须实现该接口,可以用在Active Scanner和Intruder中.

2.1 基础开发知识

最好的方式就是在原有插件的基础上修改,这样能省很多精力,当然如果要一步一步来的话,步骤如下:

(1)包含burp的接口文件

(2)创建一个包名为burp,在里面创建BurpExtender类,实现IBurpExtender接口,这个BurpExtender类是所有接口的心脏,注意这里涉及到名字都不能改动,burp插件就这么规定的。

(3)实现唯一的接口函数

 
 
 
 
    
  
  
  
  
  1. public void registerExtenderCallbacks(final IBurpExtenderCallbacks callbacks) { 
    2.   
  
  
  
  2.  
    3.   
  
  
  
  3.         this. callbackscallbacks = callbacks ; 
    4.   
  
  
  
  4.  
    5.   
  
  
  
  5.        } 
    6.

通过callbacks获取核心基础库能力,像日志,请求,返回值修改等。

(4)日志接口

 
 
 
 
    
  
  
  
  
  1. PrintWriter stdout = new PrintWriter(callbacks.getStdout(), true); 
    2.   
  
  
  
  2.  
    3.   
  
  
  
  3. PrintWriter stderr = new PrintWriter(callbacks.getStderr(), true); 
    4.   
  
  
  
  4.  
    5.   
  
  
  
  5. //输出到插件的output 
    6.   
  
  
  
  6.  
    7.   
  
  
  
  7. stdout.println("Hello output"); 
    8.   
  
  
  
  8.  
    9.   
  
  
  
  9. // 输出到alerts tab 
    10.   
  
  
  
  10.  
    11.   
  
  
  
  11. callbacks.issueAlert("Hello alerts"); 
    12.   
  
  
  
  12.  
    13.   
  
  
  
  13. //打印调用栈 
    14.   
  
  
  
  14.  
    15.   
  
  
  
  15. e.printStackTrace(stderr) 
    16.

有了这些日志接口就能比较好的调试代码了,如果要很好的跟踪请求的,可以在BApp Store中添加”Custom Logger”这个插件,能够记录所有的请求和返回信息。

2.2 getInsertionPoints

下面我们就来讲讲如何实现一个InsertionPoints接口。第一步继承IScannerInsertionPointProvider接口,实现getInsertionPoints()方法,同时通过callbacks.registerScannerInsertionPointProvider(this)方法注册成为insertion point provider。下面我们就来看看getInsertionPoints()的实现。

 
 
 
 
    
  
  
  
  
  1.  @Override  
    2.   
  
  
  
  2.  public List<IScannerInsertionPoint> getInsertionPoints (IHttpRequestResponse baseRequestResponse) { // 生成insertPoints数组   
    3.   
  
  
  
  3.  List<IScannerInsertionPoint> insertionPoints = new ArrayList<IScannerInsertionPoint>(); // 获取请求参数  
    4.   
  
  
  
  4.  IRequestInfo requestInfo = helpers.analyzeRequest(baseRequestResponse.getRequest());   
    5.   
  
  
  
  5.  List<IParameter> requestParams = requestInfo.getParameters(); 
    6.   
  
  
  
  6.  
    7.   
  
  
  
  7.     for (IParameter parameter : requestParams) { 
    8.   
  
  
  
  8.         String value = parameter.getValue(); 
    9.   
  
  
  
  9.         value = helpers.urlDecode(value).trim(); 
    10.   
  
  
  
  10.         EncryptBean encryptBean = new EncryptBean(); 
    11.   
  
  
  
  11.         if (parameter.getName().trim().equals("c")){//参数中含有c参数表示要加密的内容 
    12.   
  
  
  
  12.             encryptBean = JSON.parseObject(value, EncryptBean.class); 
    13.   
  
  
  
  13.             stdout.println("private key: " + key.privateKey + " public key " + key.publicKey); 
    14.   
  
  
  
  14.             try { 
    15.   
  
  
  
  15.                 value = decryptRSAAndDES(key, encryptBean); 
    16.   
  
  
  
  16.                 stdout.println("after decrypted:Will scan  data at parameter " + parameter + " with value decrypted " + value); 
    17.   
  
  
  
  17.             } catch (Exception e) { 
    18.   
  
  
  
  18.                 e.printStackTrace(stderr); 
    19.   
  
  
  
  19.             } 
    20.   
  
  
  
  20.             if (value.isEmpty()) continue; 
    21.   
  
  
  
  21.  
    22.   
  
  
  
  22.             try { 
    23.   
  
  
  
  23.                 String basename = parameter.getName(); 
    24.   
  
  
  
  24.                 //insertionPoints.add(new InsertionPoint(this, baseRequestResponse.getRequest(), basename, value)); 
    25.   
  
  
  
  25.                 JSONObject jsonObj = JSON.parseObject(value); 
    26.   
  
  
  
  26.                 String basevalue = ""; 
    27.   
  
  
  
  27.                 for(Map.Entry<String, Object> entry: jsonObj.entrySet()){ 
    28.   
  
  
  
  28.                     basename = entry.getKey(); 
    29.   
  
  
  
  29.                     basevalue = entry.getValue().toString();                     
    30.   
  
  
  
  30.                     //在这里传入总的value值以便在InsertionPoint进行分解,构造加密后的request请求,构造InsertionPoint时传入的value为总的value值 
    31.   
  
  
  
  31.                     insertionPoints.add(0,new InsertionPoint(this, baseRequestResponse.getRequest(), basename, value)); 
    32.   
  
  
  
  32.                     stdout.println("in for:Will scan AES encrypted data at parameter " + basename + " with value " + value); 
    33.   
  
  
  
  33.                 } 
    34.   
  
  
  
  34.             } catch(Exception e) { 
    35.   
  
  
  
  35.             } 
    36.   
  
  
  
  36.         } 
    37.   
  
  
  
  37.     } 
    38.   
  
  
  
  38.     return insertionPoints; 
    39.   
  
  
  
    40.

这一段代码的大体意思就是通过helper.analyzeRequest方法获取所有请求信息,遍历其中的参数信息,当发现参数名等于”c”时就会调用解密过程,这块的代码需要根据参数格式自定义解析参数过程。调用解密的过程大体就是先解析JSON格式,然后解密,得到解密数据的内容后调用

 
 
 
 
    
  
  
  
  
  1. `new InsertionPoint(this, baseRequestResponse.getRequest(), basename, value)` 
    2.

 实例化一个注入点。一般情况下basename和value是一一对应的,如param1=phoneNum,但是这里我们basename传入param1,value值则是解密后的值如

 
 
 
 
    
  
  
  
  
  1. `{"userid":"51ba27cb-514d-3d86-0000-2f7515a40613","task_id":"1450147269","param1":"000000000000000","m":"https"}`, 
    2.

这么传递是为了方便实例化插入点。接着我们看下InsertionPoint的参数构造。

2.3 InsertionPoint

 
 
 
 
    
  
  
  
  
  1. InsertionPoint(BurpExtender newParent, byte[] baseRequest, String basename,  
    2.   
  
  
  
  2.                 String basevalue) {  
    3.   
  
  
  
  3.     this.parent = newParent; this.baseRequest = baseRequest; this.baseName = basename;   
    4.   
  
  
  
  4.     //this.baseValue = basevalue;  
    5.   
  
  
  
  5.      this.value = basevalue; this.baseValue = JSON.parseObject(basevalue).getString(basename); 
    6.   
  
  
  
    7.

在InsertionPoint的代码中有一个很重要的接口就是buildRequest,这个函数就是用来添加payload。

 
 
 
 
    
  
  
  
  
  1. @Override 
    2.   
  
  
  
  2. public byte[] buildRequest(byte[] payload) 
    3.   
  
  
  
    4.   
  
  
  
  4.     String payloadPlain = parent.helpers.bytesToString(payload); 
    5.   
  
  
  
  5.     String payloadEncrypted = ""; 
    6.   
  
  
  
  6.     String tmpAESKey = "0123456789abcdef"; 
    7.   
  
  
  
  7.     parent.stdout.println("payloadPlain:" + payloadPlain); 
    8.   
  
  
  
  8.     parent.callbacks.issueAlert("payloadPlain:" + payloadPlain); 
    9.   
  
  
  
  9.     try { 
    10.   
  
  
  
  10.         Map<String,String> map = JSON.parseObject(this.value, new TypeReference<Map<String, String>>(){}.getType()); 
    11.   
  
  
  
  11.         map.put(this.baseName, getBaseValue() + payloadPlain ); 
    12.   
  
  
  
  12.         String allPayloadPlain = JSON.toJSONString(map); 
    13.   
  
  
  
  13.         payloadEncrypted = parent.encryptRSAAndDES(allPayloadPlain, tmpAESKey, parent.key); 
    14.   
  
  
  
  14.     } catch(Exception e) { 
    15.   
  
  
  
  15.         parent.callbacks.issueAlert(e.toString()); 
    16.   
  
  
  
  16.     } 
    17.   
  
  
  
  17.     parent.stdout.println("Inserting " + payloadPlain + " [" + payloadEncrypted + "] in parameter " + baseName); 
    18.   
  
  
  
  18.     // TODO: Only URL parameters, must change to support POST parameters, cookies, etc. 
    19.   
  
  
  
  19.     //"c" 解密数据格式包一致 
    20.   
  
  
  
  20.     return parent.helpers.updateParameter(baseRequest, parent.helpers.buildParameter("c", payloadEncrypted, IParameter.PARAM_BODY)); 
    21.   
  
  
  
    22.

这段代码就是获取payload,然后嵌入到解密后的请求包,然后将请求加密,最后调用updateParameter更新参数信息。在这里要注意parent.helpers.buildParameter("c", payloadEncrypted, IParameter.PARAM_BODY) c是body中的请求参数,和我们的数据格式对应,IParameter.PARAM_BODY这个参数则表明是Body中的请求参数,如果是URl中的则是PARAM_URL

2.4 接口关系

知道了上述接口的作用,感觉还糊里糊涂的。那就是这些接口是怎么串起来的,数据包是如何流动的,下面我们来看下active scanning的流程。

ActiveScanner引擎从InsertionPoints Provider获取Insertion Points,然后调用BuildRequest发送Request,Requst再经过HttpListener的处理到达webServer。

分享文章:Burpsuite插件开发之RSA加解密
本文来源:http://www.shufengxianlan.com/qtweb/news47/270647.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

ChatGPT知识

分类信息网站

资中网站建设    证企宝    四川雕琢时光    成都app软件开发    清舞人间    德阳服务器托管    网站空间    网络营销推广    小程序开发    网站营销    东电技服    wap网站建设    企业官网建设    成都小程序开发    成都企业网站定制    成都搅拌罐车    全网营销推广    成都微信开发    格蓝特设备    四川网站建设