查看原文
其他

利用burp精准定位攻击者

yokan Z2O安全攻防 2022-06-10

免责声明



本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。


文章正文




burp是web渗透中,最常用的工具了,如果我们能找到谁对我们的网站用了burp代理进行测试,那那个人就十有八九是攻击者了。


原理


用过burp的都知道,如果默认安装配置的话,挂上burp,访问


http://burp


会出现如下页面:



除了`http://burp`之外,还有:

http://127.0.0.1:8080/     #8080端口不是固定,是burp的代理端口http://burpsuite/


也会出现如上界面。


注意观察上图,左上角有burp的图标,和其他大部分网站一样,访问


http://xxxx/favicon.ico


会得到网站的图标:



我们可以利用这一点来判断访问我们网站的用户,是否使用了burp代理,进而来确定是否是攻击者。


基础


简单写一个测试页面:


index.html


<html><head> <title>burp test</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head>

<body> <img src="http://burp/favicon.ico" onload="alert('Burp is being used')" ></body></html>


然后,开启burp代理的用户访问这个页面,就会触发:




我们利用这个点可以做些什么呢:


将burp检测代码插入到网站的正常js文件中,检测到使用burp之后,记录攻击者ip,然后封禁ip,这样攻击者再次访问时就会被拦截;


检测代码放在正常网站的敏感位置,例如登录页面,检测到使用burp之后,记录攻击者ip,然后引导攻击者进入蜜罐或者引导攻击者下载exe;


......


......


这里写了个demo来简单演示一下:



然后会将攻击者ip记录到attacker.txt文件:



当然,你还有很多方法来完善它,这里仅是演示一下效果...


防护


那么怎么防止被发现呢?


最简单的方式就是在设置代理的时候,对如下三个主机名不使用代理:



另一种方式是在burp options中,如下两个选项下打勾





技术交流





交流群



关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。




知识星球



星球不定时更新最新漏洞复现,手把手教你,同时不定时更新POC、内外网渗透测试骚操作。涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全等



往期文章:



从此 Typora 代码块有了颜色

不会写免杀也能轻松过defender上线CS

从入门到实战编写Python Poc利用!

java代码审计之CC1链(一)

Powershell 免杀过 defender 火绒,附自动化工具Z2OBot 

机器人🤖上线啦

域渗透 | kerberos认证及过程中产生的攻击




点一下爱心再走吧!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存