01
背景
在日常的工作中,我们需要对测试的目标网站进行流量分析;当然除了在分析流量之外,我们经常需要涉及一些操作,以实现对流量的修改。作为一个合格的渗透测试工程师,任何时候掌握对流量的完全控制权其实是非常重要的基本技能。
在 Yakit 的整套工具集中,我们可以有很多手段实现流量的修改,本篇将会把流量修改分为两大部分来由浅入深的逐步讲解:
按规则快速修改验证流量:
修改 HTTP Header 与 HTTP Cookie 修改;
在整个数据包(请求或响应)中替换关键字;
可编程的复杂流量修改:借助 Yaklang 的编程技巧,实现流量的任意修改
02
按规则进行基础修改
按规则修改流量在 Yakit 中是一个非常常见的操作,我们经常使用这个功能来标记流量,或者说筛选自己感兴趣的流量。
实际上这个功能的还有更深入的用法, 我们可以编写一个规则,这个规则能替换流量中的关键字为我们想要的替换结果,同时配置规则的生效位置。
实际上,我们要修改流量的第一个案例非常简单,我们尝试做一些障眼法:
非常简单的配置就可以实现 “百度一下” 变为 YAK一下!
当然,流量规则的用法并不只有“障眼法”小技巧,使用 Header 和 Cookie 的可视化配置来加快流量修改或标记感兴趣的内容。
例如我们可以让所有的带有 example.com 的流量请求中新增一个 Header:Yakit-Hook: TrafficRule 其实非常简单,我们只需要在规则表单中编写如下配置:
在添加规则之后,我们设置规则对所有流量部分都检测生效
配置好之后,我们访问 example.com 的流量,将会看到在 History 中,example.com 的流量被新增了一个 Header
当然类似的,在添加 Header 的时候,我们也可以添加 Cookie 去设置请求中的特定 Cookie,例如 isAdmin=true 等快速配置将成为可能。
03
按“热加载”插件执行编程流量修改
当然,我们实现上述基本规则修改流量之后,虽能覆盖大部分情况,但是在一些特殊情况,例如批量添加参数(GET/POST)或需要拦截流量的时候,就会略有吃力
因此 Yakit 提供了更复杂逻辑且延展性非常强的修改方式,通过热加载代码修改。
当我们使用 “热加载” 页面时,将会看到页面中包含一段用户可以随意修改加载的代码,其中有各种各样的 Hook 函数。
如果要实现流量修改,我们需要找到代码中的hijackHTTPRequest 这个 Hook,这个 Hook 的用法在注释中已经写了一些简单的例子,我们可以实现:
动态修改流量
动态设置条件丢弃或者转发数据包
更具数据包本身的内容提取数据,针对性修改数据包
我们根据前面的内容,知道实际在测试的时候,需要学习 Yak 代码如何编写。为了让大家更直观的理解,我们做一些总结:
如果仅仅替换一些基础内容,str
模块下字符串处理可以满足基本要求
如果需要做复杂的逻辑,细节操作数据包中的内容,fuzz.HTTPRequest
是用户需要深入学习的 API
作为一个引,我们将在下一篇详细讲解如何使用 fuzz.HTTPRequest
修改数据包流量的各种复杂情况。
如果担心数据包被自己修改坏了,那么用户可以使用 poc.FixHTTPRequest
修复数据包的格式。
为此,我们准备了一个比较有趣的案例,我们将在这个案例中展示一个很有意思的效果:为通过的流量增加一个额外 Get 参数
hijackHTTPRequest = func(isHttps, url, req, forward /*func(modifiedRequest []byte)*/, drop /*func()*/) {
freq = fuzz.HTTPRequest(req)~
modifiedBytes := freq.FuzzGetParams("isAdmin", "true").FirstHTTPRequestBytes()~
println("流量修改成功")
forward(modifiedBytes)
}
我们编写这个函数完成三个主要步骤
fuzz.HTTPRequest
构建一个可以方便修改的请求
freq.FuzzGetParams("isAdmin", "true")
为这个构建好的请求新增 isAdmin=true
的参数
最后获取 .FirstHTTPRequestBytes()~
请求体,然后forward
把流量转发给真实主机
当然为了方便调试,用户可以像我一样,打开 Yakit Console 去直接查看引擎全局的日志信息。
加载之后,通过一些流量,我们发现 isAdmin=true 被加在了每一个请求的 Get 参数位置。
当然,FuzzGetParams
也仅仅是 fuzz.HTTPRequest
的一个功能而已,我们可以用它实现各种各样复杂的情况,比如 Get Post Json Data 等数据的修改,甚至文件上传、Chunk 等。
Yakit v1.1.7-sp1 发布!!!
1.1.7(-sp1) 相比之前,新增了一个社区用户呼声巨大的数据库变化:项目管理(Beta),为了实现这个功能,我们把用户本身的数据(包含插件以及缓存信息)和用户的扫描结果,流量进行了分库存储。
因此,用户所有的扫描结果和流量数据可以单独导出,甚至可以 “加密导出”;导出之后,可以作为工作依据和流量备份使用;也可以作为渗透测试报告的附件进行上传。
流量分类:MITM/扫描/爬虫
你所有的工作如果通过 Yak 本身或其实现的模块进行完成,我们可以把扫描发生的流量,Payload 和爬虫的流量都备份存下来,方便用户自己做回溯或额外导出渗透测试中的流量以“自证清白”。
往期推荐