利用burp精准定位攻击者
免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
burp是web渗透中,最常用的工具了,如果我们能找到谁对我们的网站用了burp代理进行测试,那那个人就十有八九是攻击者了。
原理
用过burp的都知道,如果默认安装配置的话,挂上burp,访问
http://burp会出现如下页面:
除了`http://burp`之外,还有:
http://127.0.0.1:8080/ #8080端口不是固定,是burp的代理端口http://burpsuite/也会出现如上界面。
注意观察上图,左上角有burp的图标,和其他大部分网站一样,访问
http://xxxx/favicon.ico会得到网站的图标:
我们可以利用这一点来判断访问我们网站的用户,是否使用了burp代理,进而来确定是否是攻击者。
基础
简单写一个测试页面:
index.html
<html><head> <title>burp test</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head>
<body> <img src="http://burp/favicon.ico" onload="alert('Burp is being used')" ></body></html>然后,开启burp代理的用户访问这个页面,就会触发:
进阶
我们利用这个点可以做些什么呢:
将burp检测代码插入到网站的正常js文件中,检测到使用burp之后,记录攻击者ip,然后封禁ip,这样攻击者再次访问时就会被拦截;
检测代码放在正常网站的敏感位置,例如登录页面,检测到使用burp之后,记录攻击者ip,然后引导攻击者进入蜜罐或者引导攻击者下载exe;
......
......
这里写了个demo来简单演示一下:
然后会将攻击者ip记录到attacker.txt文件:
当然,你还有很多方法来完善它,这里仅是演示一下效果...
防护
那么怎么防止被发现呢?
最简单的方式就是在设置代理的时候,对如下三个主机名不使用代理:
另一种方式是在burp options中,如下两个选项下打勾
技术交流
交流群
关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。
知识星球
星球不定时更新最新漏洞复现,手把手教你,同时不定时更新POC、内外网渗透测试骚操作。涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全等
往期文章:
Powershell 免杀过 defender 火绒,附自动化工具Z2OBot
点一下爱心再走吧!