利用Python编写具有加密和解密功能的Burp插件 (上)

fanyeee 技术 2019年1月7日发布
Favorite收藏

导语:本文将为读者详细介绍如何利用Python编写具有加密和解密功能的Burp插件 。

在这篇文章中,我将将为读者介绍如何利用Python语言为Burp创建处理加密插件时所需的相关技巧。在这里,我们将举例说明如何为Burp插件添加一个新的选项卡,用以对应用的通信数据进行加解密处理。这样一来,我们不仅可以在运行中修改payload,还可以使用Repeater选项卡(以及其他选项卡)。实际上,在测试移动和胖客户端应用程序时,我就使用过类似的插件。

相关代码可以从下列地址下载:

https://github.com/parsiya/Parsia-Code/tree/master/python-burp-crypto

Echocrypt

此前,我曾经使用Go语言编写了一个简单的客户端/服务器应用程序。其中,客户端使用的是AES-CFB,以硬编码的密钥/IV对示例文本进行加密。我们知道,AES-CFB可以将AES密码转换为流密码。每隔五秒,密文就被编码为base64形式,并通过localhost:8080端口上的代理,将其发送到POST请求体中规定的服务器。

默认情况下,echo服务器会侦听localhost:9090端口(当然,我们也可以通过serverAddr和serverPort进行相应的修改)。它将尝试对payload执行相应的解码和解密处理。如果解密成功,则服务器将在响应中返回payload,否则,返回错误消息。

其中,main.go可以通过下列地址下载:

https://github.com/parsiya/Parsia-Code/blob/master/python-burp-crypto/echocrypt/main.go

搭建实验环境

本实验是在Windows10虚拟机中进行的。不过,凡是支持Go语言应用程序的平台,都可以顺利完成该实验。

运行Burp,并在localhost:8080端口设置代理侦听器。这里使用的是Burp的默认侦听器。

将过滤器(filter)设置为Show All,这样就可以在Burp Listener选项卡中查看流量数据了。

1.png

“Show All”过滤器

将main.go复制GoPath目录,并通过go run main.go运行它。

1.png

运行main.go

返回Burp,这时就可以看到流量数据了。

1.png

Burp中看到的流量数据

同时,Burp Repeater也能正常使用了。

1.png

Burp Repeater中显示的样本请求的响应

模板

这里使用的是一个臭名昭着的Burp示例,下载地址为https://github.com/PortSwigger/example-custom-editor-tab。该插件能够查找含有名为data的参数的请求,并对其进行base64解码,然后显示到一个新选项卡中。本文中,我们将沿用相同的处理方式,同时,还会添加AES加密/解密功能。

为了适应进展程度和插件中使用的技术,我已为该插件和helper模块创建了多个不同的版本。其中,我们将0-decoder作为起点,然后,根据文章内容的进展,逐步升级完善。所有的修改,我都用Parsia:做了标记。

注意:

· 每次修改插件时,可以通过“Loaded”复选框完成相应的卸载和重新加载过程。这样,就不用删除和添加插件了。

· 从其他步骤中切换到该插件时,必须卸载之前的插件。

Base64解码器

下面,让我们从一个修改过的自定义编辑器选项卡开始入手,用它充当我们的模板。它只是对内容部分进行Base64解码,然后将其存储到一个名为Decrypted的新选项卡中。相关的文件,读者可以从0-decoder目录中找到。

library.py

现在,我们先来创建一些helper模块,对于这些模块,我在前一篇名为Python Utility Modules for Burp Extensions的文章中进行了详细的解释。Burp Exceptions会被加载到Burp的“Folder for loading modules”选项指定的文件夹下面(具体参见Extender > Options)。当然,我们也可以将其设置为Jython所在的文件夹。

1.png

配置Extender

helper函数的代码虽然很短,却非常有用:

# 0-decoder/library.py
 
# getInfo processes the request/response and returns info
def getInfo(content, isRequest, helpers):
    if isRequest:
        return helpers.analyzeRequest(content)
    else:
        return helpers.analyzeResponse(content)
 
# getBody returns the body of a request/response
def getBody(content, isRequest, helpers):
    info = getInfo(content, isRequest, helpers)
    return content[info.getBodyOffset():]
 
# setBody replaces the body of request/response with newBody and returns the result
# should I check for sizes or does Python automatically increase the array size?
def setBody(newBody, content, isRequest, helpers):
    info = getInfo(content, isRequest, helpers)
    content[info.getBodyOffset():] = newBody
    return content
 
# decode64 decodes a base64 encoded byte array and returns another byte array
def decode64(encoded, helpers):
    return helpers.base64Decode(encoded)
 
# encode64 encodes a byte array and returns a base64 encoded byte array
def encode64(plaintext, helpers):
    return helpers.base64Encode(plaintext)

我将helper作为参数进行传递。在上面给出的文章中,已经对给出了相应的解释。实际上,获取Burp的helper对象的唯一方法,就是调用getHelpers()。

我建议大家花点时间来了解一下getbody和setbody方法。它们可以用来操纵POST请求的整个主体。要想与特定参数进行交互,请使用IExtensionHelpers中的AddParameter、RemoveParameter以及其他方法。

extension.py

该插件只需进行稍许的改动。我们可以借助https://github.com/securitymb/burp-exceptions进行相应的调试,并且,我已经删除了处理data参数的相关代码。

导入相关模块

最初,仅仅导入了4个模块,它们都来自该模板。之后,还需导入Burp-Exceptions的支持模块,最后,还需导入helper库。

注意:由于我们的代码是运行在Jython中的,所以,我们还可以导入Java类,这方面的内容稍后再详述。

# 0-decoder/extension.py
from burp import IBurpExtender
from burp import IMessageEditorTabFactory
from burp import IMessageEditorTab
from burp import IParameter
 
# Parsia: modified "custom editor tab" https://github.com/PortSwigger/example-custom-editor-tab/.
 
# Parsia: for burp-exceptions - see https://github.com/securityMB/burp-exceptions
from exceptions_fix import FixBurpExceptions
import sys
 
# Parsia: import helpers from library
from library import *
 
BurpExtender

下面,我们来创建一个BurpExtender类。

class BurpExtender(IBurpExtender, IMessageEditorTabFactory):
 
    #
    # implement IBurpExtender
    #
 
    def   registerExtenderCallbacks(self, callbacks):
        # keep a reference to our callbacks object
        self._callbacks = callbacks
       
        # Parsia: obtain an extension helpers object
        self._helpers = callbacks.getHelpers()
       
        # set our extension name
        # Parsia: changed the extension name
        callbacks.setExtensionName("Example Crypto(graphy)")
 
        # register ourselves as a message editor tab factory
        callbacks.registerMessageEditorTabFactory(self)
 
        # Parsia: for burp-exceptions
        sys.stdout = callbacks.getStdout()
 
    #
    # implement IMessageEditorTabFactory
    #
 
    def createNewInstance(self, controller, editable):
        # create a new instance of our custom editor tab
        return CryptoTab(self, controller, editable)

变化之处:

· 插件的名称:callbacks.setExtensionName("Example Crypto(graphy)")

· 插件类的名称:CryptoTab

· 插件的helper:self._helpers = callbacks.getHelpers()

· Burp的异常支持:sys.stdout = callbacks.getStdout()

CryptoTab

新选项卡是通过CryptOTab类创建的。

def __init__(self, extender, controller, editable):
    self._extender = extender
    self._editable = editable
    # Parsia: Burp helpers object
    self.helpers = extender._helpers
 
    # create an instance of Burp's text editor to display our decrypted data
    self._txtInput = extender._callbacks.createTextEditor()
    self._txtInput.setEditable(editable)

这里,只是为Helper对象创建了一个副本,并将其作为一个字段添加到选项卡:self.helpers=extender._helpers。这么做只是处于方便性的考量,因为还可以通过self._extender._helpers来访问它。

def getTabCaption(self):
    # Parsia: tab title
    return "Decrypted"
 
def getUiComponent(self):
    return self._txtInput.getComponent()
 
def isEnabled(self, content, isRequest):
    return True
   
def isModified(self):
    return self._txtInput.isTextModified()
 
def getSelectedData(self):
    return self._txtInput.getSelectedText()

这里大部分内容都没有什么变化,唯一的变动之处便是选项卡的标题。

setMessage

SetMessage是一个回调函数,用于设置Decrypted选项卡中的文本。

def setMessage(self, content, isRequest):
    if content is None:
        # clear our display
        self._txtInput.setText(None)
        self._txtInput.setEditable(False)
   
    # Parsia: if tab has content
    else:
        # get the body
        body = getBody(content, isRequest, self.helpers)
        # base64 decode the body
        decodedBody = decode64(body, self.helpers)
        # set the body as text of message box
        self._txtInput.setText(decodedBody)
        # this keeps the message box edit value to whatever it was
        self._txtInput.setEditable(self._editable)
   
    # remember the displayed content
    self._currentMessage = content

其中,content是一个存放请求或响应内容的字节数组。如果没有请求/响应(例如,空白的Repeater选项卡),则content的值为None,这时,选项卡将为空白的,且无法进行编辑。

如果该选项卡有相应的请求/响应:

· 提取主体。对于该操作,我们将使用自己的getBody函数(我会将self.helpers传给它)。

· 使用模块(decode64)中的另一个函数对主体进行解码。

· 将解码后的文本置于消息框中。

· 确定消息框是否处于可编辑状态。这主要看self._editable的取值情况。这意味着,Proxy>HTTP History中的消息框是不可编辑的,但Repeater中的消息框则是可编辑的。

· 将选项卡的内容存储到self._currentMessage中。将来,当我们希望使用在选项卡(例如,在Repeater中)进行的修改来更新请求时,就会用到它们。

小结

在本文中,我们为读者详细介绍如何利用Python编写具有加密和解密功能的Burp插件,由于篇幅较长,分为上下两部分,更多精彩内容,将在下篇中继续为读者献上。

本文翻译自:https://parsiya.net/blog/2018-12-24-cryptography-in-python-burp-extensions/如若转载,请注明原文地址: http://www.4hou.com/technology/15501.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论