官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
- 网络安全
背景
在日常的工作中,我们需要对测试的目标网站进行流量分析;当然除了在分析流量之外,我们经常需要涉及一些操作,以实现对流量的修改。作为一个合格的渗透测试工程师,任何时候掌握对流量的完全控制权其实是非常重要的基本技能。
在 Yakit 的整套工具集中,我们可以有很多手段实现流量的修改,本篇将会把流量修改分为两大部分来由浅入深的逐步讲解:
按规则快速修改验证流量:
修改 HTTP Header 与 HTTP Cookie 修改
在整个数据包(请求或响应)中替换关键字
可编程的复杂流量修改:借助 Yaklang 的编程技巧,实现流量的任意修改;
按规则进行基础修改
按规则修改流量在 Yakit 中是一个非常常见的操作,我们经常使用这个功能来标记流量,或者说筛选自己感兴趣的流量。
实际上这个功能的还有更深入的用法, 我们可以编写一个规则,这个规则能替换流量中的关键字为我们想要的替换结果,同时配置规则的生效位置。
案例一:把百度一下替换为 YAK 一下
实际上,我们要修改流量的第一个案例非常简单,我们尝试做一些障眼法:
新建规则:在 MITM 中新建流量规则
编写规则保存生效
非常简单的配置就可以实现 “百度一下” 变为 YAK 一下
案例二:为 example.com 的访问添加 Header 或 Cookie
当然,流量规则的用法并不只有“障眼法”小技巧,使用 Header 和 Cookie 的可视化配置来加快流量修改或标记感兴趣的内容。
例如我们可以让所有的带有 example.com 的流量请求中新增一个 Header:Yakit-Hook: TrafficRule
其实非常简单,我们只需要在规则表单中编写如下配置:
再添加规则之后,我们设置规则对所有流量部分都检测生效
配置好之后,我们访问 example.com 的流量,将会看到在 History 中,example.com 的流量被新增了一个 Header
当然类似的,在添加 Header 的时候,我们也可以添加 Cookie 去设置请求中的特定 Cookie,例如isAdmin=true
等快速配置将成为可能。
按“热加载”插件执行编程流量修改
基本方式
当然,我们实现上述基本规则修改流量之后,虽能覆盖大部分情况,但是在一些特殊情况,例如批量添加参数(GET/POST)或需要拦截流量的时候,就会略有吃力
因此 Yakit 提供了更复杂逻辑且延展性非常强的修改方式,通过热加载代码修改。
当我们使用 “热加载” 页面时,将会看到页面中包含一段用户可以随意修改加载的代码,其中有各种各样的 Hook 函数。
如果要实现流量修改,我们需要找到代码中的hijackHTTPRequest
这个 Hook,这个 Hook 的用法在注释中已经写了一些简单的例子,我们可以实现:
动态修改流量
动态设置条件丢弃或者转发数据包
更具数据包本身的内容提取数据,针对性修改数据包
高级编程技巧:使用 Fuzz Request API 修改流量
我们根据前面的内容,知道实际在测试的时候,需要学习 Yak 代码如何编写。为了让大家更直观的理解,我们做一些总结:
如果仅仅替换一些基础内容,
str
模块下字符串处理可以满足基本要求如果需要做复杂的逻辑,细节操作数据包中的内容,
fuzz.HTTPRequest
是用户需要深入学习的 API
作为一个引,我们将在下一篇详细讲解如何使用fuzz.HTTPRequest
修改数据包流量的各种复杂情况。
如果担心数据包被自己修改坏了,那么用户可以使用poc.FixHTTPRequest
修复数据包的格式。
为此,我们准备了一个比较有趣的案例,我们将在这个案例中展示一个很有意思的效果:为通过的流量增加一个额外 Get 参数
案例:为通过的流量增加一个额外 Get 参数
hijackHTTPRequest = func(isHttps, url, req, forward /*func(modifiedRequest []byte)*/, drop /*func()*/) {
freq = fuzz.HTTPRequest(req)~
modifiedBytes := freq.FuzzGetParams("isAdmin", "true").FirstHTTPRequestBytes()~
println("流量修改成功")
forward(modifiedBytes)
}
我们编写这个函数完成三个主要步骤
fuzz.HTTPRequest
构建一个可以方便修改的请求freq.FuzzGetParams("isAdmin", "true")
为这个构建好的请求新增isAdmin=true
的参数最后获取
.FirstHTTPRequestBytes()~
请求体,然后forward
把流量转发给真实主机
当然为了方便调试,用户可以像我一样,打开 Yakit Console 去直接查看引擎全局的日志信息
有趣的结果
加载之后,通过一些流量,我们发现 isAdmin=true 被加在了每一个请求的 Get 参数位置
当然,FuzzGetParams
也仅仅是fuzz.HTTPRequest
的一个功能而已,我们可以用它实现各种各样复杂的情况,比如 Get Post Json Data 等数据的修改,甚至文件上传、Chunk 等。