基于burp的fuzz上传插件

一、背景

之前在雷神众测公众号看到过关于burp插件开发的一些文章，感觉还是很方便实用，回来后的第一件事就是自己尝试一下，搞定这个插件。现在把自己在尝试过程中遇到的一些问题做简单整理如下。

二、环境

burpsuit官方支持用java、python、ruby开发扩展，这里选择利用Python。利用python开发依赖 Jython，需要先下载  Standalone Jar ，并在burp中配置python的环境变量。

三、api接口

官方已经对一些常见的接口做了简单说明并提供一些开发案例，可参考链接 https://portswigger.net/burp/extender/

关于文件上传的插件主要是利用 Intruder payloads 中开发案例进行改写，该案例可直接加载到burp中进行使用，主要介绍下IIntruderPayloadGenerator接口， 此接口用于自定义的Intruder有效负载生成器，利用该接口下 getNextPayload函数获取有效负载值。利用该接口可获取到在Intruder模块里设置的变量值，并去定义我们要替换的变量值。该接口的具体介绍可参考如下：

https://portswigger.net/burp/extender/api/burp/IIntruderPayloadGenerator.html

文件上传插件目的是对请求数据包中如下数据进行改写，尝试绕过一些上传限制规则，

Content-Disposition: form-data; name="uploaded"; filename="a.php"
Content-Type: application/octet-stream

利用getNextPayload函数，basevalue即Intruder模块里设置的变量的值

变量数据输出如下：

接下来通过替换上传文件后缀名、变换Content-Disposition大小写、增删空格、修改Content-Type类型等构造一系列payload即可。

四、注意事项

1、python版本统一

burp的python环境要和插件的版本统一，不然在后续调试过程中会出现很多问题，比如在这里我的burpp ython环境是2.7，所以插件也是用python2.7版本写的。

2、在测试插件时遇到数据总是被url编码问题，这个问题还是找了很久的，在确定代码没问题后，矛头转向burp的设置，发现果然是设置出现问题。

在intruder功能下的payloads设置中，burp默认对payload中=、\等一些字符进行了编码，将URL-encode these characters的勾选去掉即可。

3、为了利用getNextPayload函数将intruder模块中的变量值读取出来，需要用到chr(x)函数，但是调用该函数时总是出现如下错误。

原因如下，Python2.7，chr( K ) 将编码K 转为字符，K的范围是 0 ~ 255，python 3.0中，chr( K ) 将编码K 转为字符，K的范围是，0 ~ 65535，而在实际输出中出现负数，所以系统出现上述错误。

4、编写该插件基本都是边写边调试的，所以需要burp频繁加载和卸载插件，只要是加载插件次数多了系统就会出现内存错误，主要造成内存错误的原因如下：

由于Jython动态产生Java的类的方式,在加载插件时你可能会遇到内存错误,可以通过配置Java版本低于JDK8,通过如下命令启动burp来分配更多的内存java -XX:MaxPermSize=1G -jar burp.jar,注意,这种方式在JDK8+以上是不允许的。这种方法我没有尝试，我是在出现这种问题时，直接重启burp。

五、演示效果

1、加载插件

2、intruder设置变量值并加载插件

3、运行效果

此处建议是加上，上传成功后的提示进行匹配，这样效果会比单纯的根据长度匹配更明显一些，如下图

六、小结

此插件只是对数据包中的“Content-Disposition: form-data; name="uploaded"; filename="a.php"

Content-Type: application/octet-stream”进行了混淆，所以存在其局限性，只是辅助于日常的测试，对于请求数据头部的混淆、上传文件的混淆、上传文件的免杀等方面的测试，还需要人工进行测试。不过有了这个插件，可以慢慢积累一些常见的绕过方法，来扩充完善其功能，也是挺方便的。自己动手的最大好处就是遇到问题解决问题，对burp一些常见接口有了多一些了解，以后在改写类似的东西会更顺手一些。