Web Fuzzer: MORE than Repeater + Intruder

快速预览: 使用 Web Fuzzer 进行爆破 #

推荐大家升级 Yakit-1.0.13-sp3 与引擎 >= Yakit-1.0.13-sp16

使用 Burp 的 Intruder 爆破其实是任何一个渗透测试同学的必修课，在原数据流程，我们需要做的事情是：

1. 把需要爆破的数据包发送到 Intruder
2. 为爆破的位置打标记
3. 设置字典
4. 开始爆破
5. 等待结果，查看爆破过程

然而在 Yakit 中，这个过程变得更加简单并且符合人的逻辑。

1. 把需要爆破的数据包发送到 Intruder
2. 选中需要打标记的位置
3. 右键选择字典
4. 发包！

当然，这类场景非常多，很多时候我们想要的遍历订单类，遍历手机号，甚至遍历 Path 都可以通过这个方式做到，实际 Yakit 在进行标记的时候，和 Burp 略微不同，并不是用序号进行标记，而是通过一个特殊的 Fuzz 标签，标签可以支持非常多的种类。

比如说，如果要进行一个参数遍历 1-10，在 Yakit 中只需要 {{int(1-10)}} 即可把这个位置用数字 1-10 依次替换。如果需要用到字典，通过 {{x(your-dict)}} 即可把字典内容依次替换标签位置内容，从而达到 Fuzz / 爆破的目的。

更让人高兴的是，实际上我们的爆破有时候并不完全依赖字典，如果单纯只是想测试少数的几个路径，我们费力去传一个字典，其实有点浪费了，在 Yakit 中我们可以通过 {{list(element1|element2|...)}} 来测试几个特定的值。

例如，我们以一个具体的案例来看，如下是一个文件包含漏洞的典型数据包。

GET /fileincl/example1.php?page=/etc/{{list(hosts|passwd|nginx.conf)}} HTTP/1.1Host: 172.16.86.134Connection: close

针对这个案例，我们在 page=/etc/{{list(hosts|passwd|nginx.conf)}} 设置了一个这样的内容，意味着整个数据包将会被渲染成三个数据包，分别为

// hostsGET /fileincl/example1.php?page=/etc/hosts HTTP/1.1Host: 172.16.86.134Connection: close
// passwdGET /fileincl/example1.php?page=/etc/passwd HTTP/1.1Host: 172.16.86.134Connection: close
// nginx.confGET /fileincl/example1.php?page=/etc/nginx.conf HTTP/1.1Host: 172.16.86.134Connection: close

在 Web Fuzzer 中我们发送这个数据包

当我们发送了这种可以渲染的数据包的时候，我们的界面将不再会是之前的左边请求，右边单个响应体的布局，右边将会变成一个列表，列表中每个请求的各种指标：响应大小（Burpsuite 常用），响应内容的相似度，响应 Header 的相似度，Payload 内容可以帮助用户迅速筛选出想要的结果。

高级案例: 可作为 Web 扫描器的 Fuzzer！ #

众所周知，在 Burp 的 2021 年 12 月的版本中，才支持可以针对 Host 的 Intruder 配置。
但是实际上，从 Yakit 一出生的时候，就支持这类场景。

Yakit Web Fuzzer 高级配置 #

如果直接根据 Host 去发起请求的话，那如何实现 Host 碰撞的问题呢？

这是一个好问题，从 Host 取需要请求的网站是正常的逻辑，但是这种会造成 Host 碰撞的需求无法实现。但是并不代表 Yakit Web Fuzzer 放弃了这个能力

当我们打开 “高级配置”，我们发现可以静态设置 Host，这个 Host 是实际请求将会采用的 Host，如果设置了他，意味着发包过程中，Web Fuzzer 不会根据数据包的 Host 字段去决定要给谁发送请求了。

通过固定 Host，我们再在数据包中，对 Hosts 进行 fuzz 标签标记，就可以轻松达到 Host 碰撞的目的。

同样的，其他的高级配置均可生效，我们可以很容易的配置

1. 是否启用渲染模版，即是否启用 Web Fuzzer 的 fuzz 标签的功能。
2. 配置批量数据包发送时候的并发，为了方便理解，配置为 “并发线程”。
3. 强制开启 HTTPS
4. 为 Intruder 和 Repeater 快速设置代理（可自动缓存记住配置，不需要每次都重新配）
5. 设置单个请求的超时时间

以一个网段+多个端口为目标：批量扫描！ #

要进行批量扫描，我们需要用到新的标签 {{net(network_block)}} 和 {{port(portstr)}} 当我们以

{{net(172.168.1.1/24)}}:{{port(80,443,8080)}}

作为输入时，即使笔者不给大家介绍这个标签，大家也可以从标签内容看出这个标签承担的作用。渲染一段网段，渲染几个端口，然后把渲染出的结果进行笛卡尔乘积：

大家可以随时在 “数据处理=>Codec=>模糊测试” 功能中测试自己编写的标签模版。

在有了这个积累之后，我们可以很容易构造一个数据包，来爆破管理员目录
比如说，我们只爆破 admin/, login.php, wp-login 这三个目录，针对某一个网段的 80,443,8080 端口，那么我们的 Payload 很可能长成这样。

GET /{{list(admin/|login.php|wp-login)}} HTTP/1.1Host: {{net(47.52.100.1/24)}}:{{port(80,443,8080)}}Connection: close

在爆破过程中，我们点击 StatusCode 筛选，可以从状态码筛选出我们想要的内容。