免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
burp是web渗透中,最常用的工具了,如果我们能找到谁对我们的网站用了burp代理进行测试,那那个人就十有八九是攻击者了。
原理
用过burp的都知道,如果默认安装配置的话,挂上burp,访问
http://burp
会出现如下页面:
除了`http://burp`之外,还有:
http://127.0.0.1:8080/ #8080端口不是固定,是burp的代理端口http://burpsuite/
也会出现如上界面。
注意观察上图,左上角有burp的图标,和其他大部分网站一样,访问
http://xxxx/favicon.ico
会得到网站的图标:
我们可以利用这一点来判断访问我们网站的用户,是否使用了burp代理,进而来确定是否是攻击者。
基础
简单写一个测试页面:
index.html
<html> <head> <title>burp test</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> </head> <body> <img src="http://burp/favicon.ico" onload="alert('Burp is being used')" > </body> </html>
然后,开启burp代理的用户访问这个页面,就会触发:
进阶
我们利用这个点可以做些什么呢:
将burp检测代码插入到网站的正常js文件中,检测到使用burp之后,记录攻击者ip,然后封禁ip,这样攻击者再次访问时就会被拦截;
检测代码放在正常网站的敏感位置,例如登录页面,检测到使用burp之后,记录攻击者ip,然后引导攻击者进入蜜罐或者引导攻击者下载exe;
......
......
这里写了个demo来简单演示一下:
,时长00:14
然后会将攻击者ip记录到attacker.txt文件:
当然,你还有很多方法来完善它,这里仅是演示一下效果...
防护
那么怎么防止被发现呢?
最简单的方式就是在设置代理的时候,对如下三个主机名不使用代理:
另一种方式是在burp options中,如下两个选项下打勾