Web Fuzzer 进阶 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

Web Fuzzer 进阶

yaklang 2023-11-20 10:51:07 117698

本文由 yaklang 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

前言

Web Fuzzer，作为Yakit平台的核心组件之一，已经超越了传统的“重放数据包”的功能，成为了一个多面的工具，支持更加丰富的功能，本篇文章会围绕最近添加的 Fuzzer 序列功能和 PoC 模板生成功能展开讲讲。

多请求 PoC 的免写攻略

在此前的poc免写攻略文章中https://mp.weixin.qq.com/s/0u2bBPQ_EEQ_4u-A5EZkMQ，我们以 ThinkPHP RCE 为例，通过 "点点点" 的方式，生成了一个还算合格的 Yaml PoC 插件，相信小伙伴们在阅读后，心中多半会有一个疑问，例子中的 ThinkPHP RCE 只需要发送一次请求包即可判断漏洞是否存在，那么对于下列的一些漏洞场景，怎么办呢？

访问漏洞 API 前，需要先获取 token 的场景
上传文件后，想要对上传的文件是否成功进行判断的场景
... 其他需要前置包的场景

仔细思考可以发现，这些场景和 Web Fuzzer 序列功能十分契合，本质就是通过设置数据包发送的顺序，达到触发漏洞的目的，因此，对于多数据包的 PoC 生成也理所应当的被放在了 Fuzzer 序列中。

我们再以 ThinkPHP RCE 为例，为了体现出多次发包的要求，我们不再使用回显 phpinfo() 的方式判断漏洞检出，我们首先构造文件写入数据包，随后访问写入文件是否成功的方式来判断漏洞是否存在。

1700448145_655ac791a659a82fd0d92.png!small?1700448147762

我们使用 Vulhub 启动一个 ThinkPHP 的靶场，随后在 Web Fuzzer 中构造如下数据包

HTTP
// 上传一个名为 test.php 的文件，文件内容是打印 Yakit md5 后的值，并且在访问后会自行删除 test.php 文件
GET/index.php?s=index/\think\template\driver\file/write&cacheFile=test.php&content=%3C?php%20echo%20md5(%27Yakit%27);unlink(__FILE__);?%3E HTTP/1.1
Host: 127.0.0.1:8888

发送文件写入数据包

1700448156_655ac79c8bc8fe6663d99.png!small?1700448158697

验证文件是否上传成功，通过我们上面发送的 Payload 内容可以知道，上传成功的标准应当是 response 中有 "Yakit" 字符串 md5 后的结果

1700448162_655ac7a2ad94f9ce1002e.png!small?1700448163559

点击发送数据包，观察结果，完美符合预期！复现漏洞阶段结束，接下来我们开始把这两个数据包变为一个插件，首先需要对第二个数据包设置一个匹配器，用于设置漏洞是否存在的条件，也就是我们前面提到的 Response body 中有 Yakit md5 后的结果

我们可以根据需求，选择使用硬编码匹配的方式进行判断，如下设置匹配 "53d363904730659dc7c1338948f77772"

1700448177_655ac7b1a619174caabba.png!small?1700448179400

也可以配合设置变量功能使用更加灵活的方式来设置匹配器，通过对结果和设置的变量进行比较来确认漏洞是否存在，如下所示

1700448188_655ac7bc62dcd2c857dde.png!small?1700448190496

之后我们可以把前面的两个数据包添加进一个 Fuzzer 序列组中，

1700448222_655ac7de3f7a46a507ce7.png!small?1700448223450

点击开始执行，我们可以在验证数据包中，看见匹配成功的字样

1700448346_655ac85ae780b25ddc88c.png!small?1700448348270

随后我们就可以点击右上角的 "生成为 Raw 模板"

1700448351_655ac85f43d5b940f1681.png!small?1700448353024

生成如下的 Ymal PoC

1700448355_655ac86392cc83de7b515.png!small?1700448357086

点击执行后，可以发现检出了漏洞

1700448360_655ac8685f90407fe9654.png!small?1700448362428

至此，我们使用序列构造的多请求包 PoC 就完成了，可以后续完善一些漏洞信息即可保存为 Yaml 插件，方便后续的使用了

Fuzzer 序列场景：CSRF Token 保护下的爆破

在官网的 Web Fuzzer 教程中，有热加载实现的热加载场景案例：csrf token保护下的爆破，我们现在使用 Fuzzer 序列的方式来实现一下。

我们以pikachu靶场为例，安装pikachu靶场后(记得要初始化)，我们打开如下页面：

1700448378_655ac87a1bc74c661e1c8.png!small?1700448379308

任意输入账号密码之后，使用 Yakit 的 MITM 模块拦截登录请求，我们可以看到请求如下：

1700448382_655ac87e81df09efbcd13.png!small?1700448384147

注意到除了用户和密码之外，还存在一个 token 的 post 参数，这是一个 CSRF token，它主要是用来防止CSRF攻击的，但是这也给我们的爆破增加了一定的难度，因为每次爆破都需要使用一个新的 token。

观察返回包中的 token ，后续的请求需要带上这个 token。

1700448387_655ac883d14be843f118a.png!small?1700448389086

理清思路后，本次的爆破流程如下图所示

1700448393_655ac8893d96b6a2bb0c3.png!small?1700448394470

第一步，我们首先需要提取 token，使用 Web Fuzzer 中的提取器，添加一个变量名为 token 的 Xpath 提取器，使用 //input[@name='token']/@value进行匹配

1700448399_655ac88f59408835902a6.png!small?1700448400720

由于第二个登录数据包中每次都需要一个新的 token，所以我们需要在进行登录尝试前，都去获取一次 token，因此，对于字典的设置，需要在第一个数据包中进行设置，第二个数据包中使用，最终，第一个数据包 "提取 token" 如下图，我们设置了一个名为 pass 类型为 fuzztag的字典，用于在后续包中使用。

1700448405_655ac8959a80ba536e761.png!small?1700448406822