不夸张,MITM真是网安人的神器
2024-7-19 15:50:35 Author: mp.weixin.qq.com(查看原文) 阅读量:16 收藏

内置规则 主要是在被动扫描部分,从mitm经过的请求包/返回包会在这部分进行规则匹配,在渗透测试过程中,我们会常常发现有信息泄漏、框架指纹、密钥、配置信息泄漏等,他们都在返回包的不同位置进行展示,我们可以编写规则来进行检测。
在yak中也内置了一部分内容规则来使用,我们可以点击右侧的齿轮⚙️来进行查看和编写规则。内置的规则偏向于信息泄漏部分,可以扩充自己的cms或者OA的指纹规则,或者导入自己的规则。(也可以勾选mitm插件)格式为:
[    {        "Rule": "M1-Server 已启动,您可以使用移动设备登录M1",        "NoReplace": true,        "Color": "green",        "EnableForResponse": true,        "EnableForHeader": true,        "EnableForBody": true,        "Index": 1,        "ExtraTag": [            "致远 M1"        ],        "VerboseName": "致远 M1"    } ]
 

下游代理的意思是,请求在经过yak-mitm之后流向的一个下游监听地址。可以配置但不仅限于下面的几种。

  • 内网穿透在公网上的映射(内网渗透常用,无特征)

  • 出口代理可以配置本地的出口代理,比如clash,v2ray等

  • 和扫描器进行联动使用。

使用前请先安装证书,参考 Yakit 证书安装。

热加载指的是在我们mitm在对经过流量的request、response进行hook,主要分为下面几种。

流量镜像:

  • mirrorHTTPFlow:镜像全流量

  • mirrorFilteredHTTPFlow:镜像过滤流量

  • mirrorNewWebsite:每新出现一个网站,这个网站的第一个请求,将会在这里被调用!

  • mirrorNewWebsitePath:每新出现一个网站路径,关于这个网站路径的第一个请求,将会在这里被传入回调

  • mirrorNewWebsitePathParams:每新出现一个网站路径且带有一些参数,参数通过常见位置和参数名去重,去重的第一个 HTTPFlow 在这里被调用

流量劫持:

  • hijackHTTPRequest:劫持http流量。

  • beforeRequest:发送到服务端之前进行hook。

  • afterRequest:再对返回包进行hook。

上面介绍了这么多的流量镜像函数和流量劫持函数,在热加载的时候到底如何正确的使用,将通过下面的几个常见场景来进行介绍。

场景分析1:对网站的返回包进行分析

下面针对于网站返回包中含有js代码,我们想获取到js中的请求路径,我们选择的是mirrorNewWebsitePath。启动一个简单的demo,返回包的内容如下。
[    {        "Rule": "M1-Server 已启动,您可以使用移动设备登录M1",        "NoReplace": true,        "Color": "green",        "EnableForResponse": true,        "EnableForHeader": true,        "EnableForBody": true,        "Index": 1,        "ExtraTag": [            "致远 M1"        ],        "VerboseName": "致远 M1"    } ]
在热加载中使用的代码为:
思路:用xpath取出script中的内容,用syntax-flow来进行js分析
mirrorNewWebsitePath = func(isHttps /*bool*/, url /*string*/, req /*[]byte*/, rsp /*[]byte*/, body /*[]byte*/) {    htmlnode:=xpath.LoadHTMLDocument(string(body))~    res = xpath.Find(htmlnode, `//script`)    for _,node :=range res{        script = xpath.InnerText(node)        if script!=""{            prog:=ssa.Parse(script.Trim(" ","\n"), ssa.withLanguage(ssa.Javascript))~            result :=prog.SyntaxFlowWithError(`.open(,* #-> * as $param)`)~            yakit_output(result.GetAllValues())        }    }}

场景分析2:对请求包中的某个参数进行加密或者修改

选择到的hijackHTTPRequest或者beforeRequest,这里我选择使用hijackHTTPRequest,需求:我们需要手动添加auth header头。加密可以使用codec里面的插件
hijackHTTPRequest = func(isHttps, url, req, forward /*func(modifiedRequest []byte)*/, drop /*func()*/) {    req = poc.ParseBytesToHTTPRequest(req)~    if req.Host=="10.211.55.11:8133"{        forward(poc.ReplaceHTTPPacketHeader(req, "Auth", "123"))    }else{        return req    }}

场景分析3:对返回包进行解密

可以选择hijackHTTPResponse、afterRequest,这里选择一个hijackHTTPResponse,场景需求:返回包内容是进行的base64解密,我们需要进行解密。热加载代码如下
hijackHTTPResponse = func(isHttps, url, rsp, forward, drop) {    host,port = str.ParseStringToHostPort(url)~    if host=="10.211.55.11"{        body = poc.GetHTTPPacketBody(rsp)        _body = codec.DecodeBase64(body)~        forward(poc.ReplaceHTTPPacketBody(rsp, _body))    }else{        forward(rsp)    }}
 

yak-mitm在多个场景中有不同的应用,热加载模式是可以直接对request和response进行劫持和hook,可以和ssa进行很好的融合。是一个非常方便的功能。内置规则和内置插件也在渗透测试过程中有发挥更好的效果。

END

  YAK官方资源 

Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ


文章来源: https://mp.weixin.qq.com/s?__biz=Mzk0MTM4NzIxMQ==&mid=2247520745&idx=1&sn=9f051bc7d41b471b5d225288ac908e27&chksm=c2d1ed4df5a6645b0cb33db3750516e4e6bfc4676fc0ca0ddc17096ba1a9cf67a94320aa858e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh