burpsuite插件之AutoRepeater——自动化测试越权

0x01 AutoRepeater 介绍

Burp Suite 是一个拦截 HTTP 代理,它是执行 Web 应用程序安全测试的事实工具。虽然 Burp Suite 是一个非常有用的工具,但使用它来执行授权测试通常是一项涉及 “更改请求和重新发送” 循环的繁琐工作,这可能会漏掉漏洞并减慢测试速度。AutoRepeater 是一个开源的 Burp Suite 扩展,旨在减轻这种努力。AutoRepeater 可自动化和简化 Web 应用程序授权测试,并为安全研究人员提供易于使用的工具,可在 Burp Suite 中自动复制,修改和重新发送请求,同时快速评估响应的差异。

AutoRepeater 仅重新发送由定义的替换更改的请求。当 AutoRepeater 收到与给定选项卡设置的条件匹配的请求时,AutoRepeater 将首先将每个已定义的基本替换应用于请求,然后将复制请求,并为每个已定义的替换执行基本替换,并将给定的替换应用于请求。

项目地址:https://github.com/nccgroup/AutoRepeater

下载地址:https://github.com/nccgroup/AutoRepeater/blob/master/AutoRepeater.jar

0x02 AutoRepeater 特点

没有 AutoRepeater,基本的 Burp Suite Web 应用程序测试流程如下:

  1. 用户面对 Web 应用程序,直到找到有趣的请求
  2. 用户将请求发送到 Burp Suite 的 “Repeater” 工具
  3. 用户在 “Repeater” 中修改请求并将其重新发送到服务器
  4. 重复步骤 3,直到找到甜蜜漏洞
  5. 从第 1 步开始,直到用户用完测试时间或者可以退出 bug 赏金收入

虽然此测试流程有效,但测试任何请求中可能存在的问题尤为繁琐。例如,更改电子邮件地址,帐户身份,角色,URL 和 CSRF 令牌都可能导致漏洞。目前,Burp Suite 不会在 Web 应用程序中快速测试这些类型的漏洞。

现有一些 Burp Suite 插件(AuthMatrix,Authz 和 Autorize)可以使授权测试更容易,但每个插件都有限制其实用性的问题。AuthMatrix 和 Authz 要求用户向插件发送特定请求,并设置授权测试执行方式的规则,这会导致丢失重要请求的风险并降低测试速度。Autorize 不为用户提供执行通用文本替换的能力,并且具有令人困惑的用户界面。AutoRepeater 从这些插件中获取所有最佳创意,以及 Burp Suite 熟悉的用户界面,并将它们组合在一起以创建最简化的授权测试插件。

AutoRepeater 提供了一种通用解决方案,用于简化 Web 应用程序中的授权测试。AutoRepeater 提供以下功能:

  • 自动复制,修改和重新发送任何请求
  • 有条件的替代品
  • 快速标题,Cookie 和参数值替换
  • 拆分请求 / 响应查看器
  • 原始与修改的请求 / 响应差异查看器
  • 基本替换中断 CSRF 令牌和会话 cookie 等请求的值
  • Renamable 标签
  • 记录
  • 出口
  • 切换激活
  • 从其他 Burp Suite 工具 “发送到 AutoRepeater”

0x03 AutoRepeater 安装方法

下载插件,在 extender 模块添加【商店里面也可以,但是慢而且你也需要确定是最新的】

0x04 AutoRepeater 使用注意事项

1. 没开始的时候,不要开启

3. 重启之后,数据会丢失,规则配置还在

0x05 AutoRepeater 使用方法

流程:先点开关,在 replacements 添加替换规则,之后 logs 一般默认即可,接下来将数据包发送到 AutoRepeater 就可以分析了,我这里面为了直观,替换规则是 “将 GET 换成 POST 了”

replacements

logs


大致布局

...... 忘了标记顺序了,就这样吧

0x06 AutoRepeater 替换规则举例

测试未经身份验证的用户访问

要测试未经身份验证的用户是否可以访问该应用程序 [删除 cookie],需要选择 Remove Header By Name 之后;Match 选择 Cookie

测试经过身份验证的用户访问【越权之类】

要测试越权之类【替换 cookie 值】的,需要在 Base Replacements 下为 cookie 配置一个规则, Match Cookie Name, Replace Value 匹配 cookie 名称,替换为权限较低的用户的 cookie 值

0x07 总结

用了一下感觉还行, 发现没有国内没说明就顺手写了个文档,大佬别喷

0x08 参考

AutoRepeater 项目主页

AutoRepeater: Automated HTTP Request Repeating With Burp Suite

原文地址 xz.aliyun.com