Un1kHacking

Security Classification: 【C-1】 | Publish Time:2024-02-05 | Category:Old Posts | Edit

Expiry Notice: The article was published three months ago. Please independently assess the validity of the technical methods and code mentioned within. :)

AI摘要:本文介绍了如何开发一款Burp Suite插件，以便快速接入云函数进行代理测试。设计思路是简化现有工具的流量转发机制，利用IHttpListener接口监听HTTP请求，并通过自定义IHttpService修改请求参数，最终将原始请求打包并发送到云函数接口处理。文章详细描述了插件开发的步骤、代码实现及云函数处理逻辑，强调了提升插件灵活性和用户配置的必要性。 --- (来自模型:gpt-4o-mini-2024-07-18)

## 前言

一款为了快速接入云函数代理测试的插件。本文也可给burpsuite开发初学者提供从0到1的开发步骤。

## 设计思路

由于目前存在的一些云函数代理工具仅仅是做了流量转发,也就是访问网站的时候一股脑儿的把流量全部通过你的vps再转发到你的云函数接口去，以达到通过使用云函数的cdn代理池从而防止被攻击溯源。这样的操作是可行的，但是实际运用是存在许多缺点的。

首先在链路上，流量->vps->云函数，需要通过两层中转，第二是云函数或者是vps的性能、带宽不足，导致访问百度这种速度较快的网站都会加载全部资源导致卡死。所以我们可以简化一下，抽取其中的部分功能给repeater用即可。

## 编写代码

1.阅读官方SDK与文档

2.了解需求

需要在repeater模块，发送http请求的时候，使用插件发送流量给云函数接口处理，最后返回信息到response即可。而判断在哪个模块，burpsuite api给了通用方法，并且模块可以根据toolflag来判定使用。所以我们需要用到一个监听http请求的模块。

也就是IHttpListener，使用该接口前，需要先通过 IBurpExtenderCallbacks.registerHttpListener() 注册一个 HTTP 监听器，这样所有的HTTP请求和响应都会通知这个监听器，就可以在这个监听器对HTTP数据包进行分析或修改了。

代码如下:

![](https://img.meituan.net/imgupload/09142d683795358326fdeeafc6da4c08164656.png)

需要注意的是，在最前面需要接口继承IHttpListener：

![](https://img.meituan.net/imgupload/b25e2fa843a95b4d381449fe66efdbfd12595.png)

该接口只提供了一个方法,processHttpMessage。这个方法拥有三个属性：

![](https://img.meituan.net/imgupload/886ec66a4a6db0cdd50149e2d16a142523865.png)

通过toolflag属性,判断是否为repeater模块 在repeater才生效,代码就可以写

```
 if(toolFlag == 0x00000040) {
   // To do here
}
```

这样第一个要求就轻松解决了,接着就是后面的操作,转发流量到云函数服务接口,并且取消原始请求。这里是开发的最大坑点,这个方法自带一个接口IHttpRequestResponse。我们需要使用这个接口去改变请求和设置响应,他的方法如下:

![](https://img.meituan.net/imgupload/08d3173a72366d0302f7602a528ea7051030645.png)

所以我们一开始需要使用setRequest方法去修改请求,代码如下

![](https://img.meituan.net/imgupload/1d75955c3a30e7d755f20b453363f89177920.png)

虽然请求是被修改了,测试blog.happysec.cn域名下,不管repeater模块的request是什么代码,请求包都是bytes中的请求包，效果是会发送一个get请求/scf.php?body=，从而无视你的包体。

但是测试其他域名就出现问题了,由于setrequest只是修改了request中的报文,但是该请求包的service中的host、port、Protocol，还是原来的a.com,http,8081。当serive中的host与请求包中的host不一致的时候，会发生无法访问的情况。所以我把注意力放在了，setHttpService这个方法上面。如果我们用这个方法,把host、port、protocol改成我们的云函数相关信息，那么就可以解决我们这个问题。但由于HttpService是一个接口，不是对象，需要通过做一个接口实现：

```
class WSHttpService implements IHttpService
```

让WSHttpService类实现接口IHttpService中所有的方法,之后定义三个属性,并重载getHost,getPort,getProtocol方法。

private String host;
        private int port;
        private String protocol;

WSHttpService() {
            host = "blog.happysec.cn";
            protocol = "https";
            port = 443;
        }

@Override
        public String getHost() {
            return host;
        }

@Override
        public int getPort() {
            return port;
        }

@Override
        public String getProtocol() {
            return protocol;
        }

在类实例化构造函数中,将三个参数默认定义为云函数的接口地址、端口、协议。之后我们实例化一个类WSHttpService，并用setService方法重新设置messageInfo的service信息。

代码如下:

WSHttpService iHttpService = new WSHttpService();
            messageInfo.setHttpService(iHttpService);
            IHttpService iHttpService2 = messageInfo.getHttpService();
            this.stdout.println(iHttpService.getHost());
            this.stdout.println(iHttpService.getPort());
            this.stdout.println(iHttpService.getProtocol());
			
重新打包插件后我们访问网站测试

![](https://img.meituan.net/imgupload/57fbe29c0a713e0022f07d0f348b0e35201624.png)

发现无论请求包设置的host为啥，都走的是WSHttpService类下的host、port、Protocol。

解决了这个问题，其他的也就是写云函数接口、打包原始请求headers、发送请求包至云函数接口的简单代码即可了。

3.打包原始请求代码编写

我们需要把原始http请求报文打包发送给云函数接口,通过
```
String body =(helpers.bytesToString(messageInfo.getRequest())); //获取请求数据
```
这行代码我们可以获取字符串类型的原始请求数据,也就是

![](https://img.meituan.net/imgupload/4bdded238603a17f8f306413304c831439714.png)

这个框里的内容

为了防止编码错误,我们使用base64对string做编码

try {
                    base64encodedString = Base64.getEncoder().encodeToString(body.getBytes("utf-8"));
                } catch (UnsupportedEncodingException e) {
                    e.printStackTrace();
                }
				
接着我们只需要 重新修改原始请求即可

![](https://img.meituan.net/imgupload/e12cd2b7fb52a8b902b5e56bb78dc86254197.png)

所以这样能够理解了，前面修改service的目的只是为了防止host不一致导致请求无法传递而已。

然后我们修改body后的参数为我们需要传递的base64代码即可

4.云函数代码编写

此时burp插件已经编写完毕了。

接下来就是云函数对请求包的处理。处理原始请求包提取里面的body、host、uri、method、content-type等重要参数，使用云函数重新请求即可。

这里需要注意的是,由于请求和响应都会被这个监听器捕获,所以我们需要设置条件

![](https://img.meituan.net/imgupload/db13c8f0f8561c8041cce85420077bed10421.png)

默认对获取响应不做处理即可。

我通过

String body = (helpers.bytesToString(messageInfo.getRequest())); //获取请求数据包
再将body进行base64编码，这样就可以发包给云函数接口原请求的http报文。做接口的话选择很多，我这里选择php代码来写。

首先，对原请求重新发包，拿的是http报文。就需要使用socket来write，再重新发包。

这里的坑点也很多，一开始我用的是fsockopen这个函数，但是后面遇到证书错误的问题，于是改用stream_socket_client，并在上下文stream_context_create创建了一个ssl，把verify_peer_name和verify_peer都设置成false，这样就可以忽略证书文件校验了。但是发现上传文件的时候会上传错误，某些接口网站访问空白，并且不是云函数的问题，是代码的问题。

在write的时候发生了什么不可预见错误，我通过反复diff请求包也没有找到问题，接口收到的请求包和原始请求包怎么看都是一个请求包,于是我放弃了这个思路,只能做报文解析了。然后用curl去发包，analyzeRequest给了几个好用的方法，geturl和getHeaders，这样我们可以快速获取url和头部信息，但是需要注意这里的headers的第一个元素是类似**POST /api HTTP/1.1**的一行，method也可以用getmethod获取,uri在url里,所以我们可以把headers这个list的第一个元素remove,然后都编码base64发给接口。

至此，headers、url、method的问题都可以解决,接下来就是解决body中的文件内容或者请求参数的获取了。对于analyzeRequest，burpsuite api没有给出拿到body内容的接口。但是给了获取body的偏移量getbodyoffset。所以我们可以用以下代码获得请求body：

```
String sendData = body.substring(reqInfo.getBodyOffset());
```

也就是把请求包从偏移量开始的地方截取全部，就是body的内容了。后面拿到值然后用curl_setopt即可，就不多写了,效果如下（解决了蛋疼的编码问题）

![](https://img.meituan.net/imgupload/6bb75f136a1b66668cef7debdc48fb0a241970.png)

![](https://img.meituan.net/imgupload/70af487760c506f002c328ac42e49e41215767.png)

实际使用还是存在很多需要提升的地方,比如云函数接口是硬编码的,不是动态可变的。导入配置我倒是思考过,但是发现需要绘制ui和使用另外的加载器,比较麻烦,还不如在burpsuite的文件夹下做一个ini的默认载入,不存在就提示用什么命令加载。

mac效果如下：

![](https://img.meituan.net/imgupload/d0049def9bce0f4ce5d362b9d35c7046170536.png)
![](https://img.meituan.net/imgupload/84741625f697f03a85b51c4fbd0ce49a673829.png)

之后写一个菜单 做监听 假设我修改了配置文件中的接口 那么点击就会重载

![](https://img.meituan.net/imgupload/1e5e2c60bd0681572d51c610a1bb5327512587.png)

![](https://img.meituan.net/imgupload/68514ac3537e0d3ccea810149434031d174769.png)

对接口代码作修改 在响应内容中加入使用的api host 便于区分

![](https://img.meituan.net/imgupload/d52e08d492154acb03bce642e33eb837475595.png)

![](https://img.meituan.net/imgupload/9f8b764c089c14ec6e725fa17f77669b231627.png)

基本上这样就可以投入使用啦～

Web3 Info

The ownership of the data in this article is secured by blockchain encryption technology and smart contracts, and is solely owned by the creator.

Comment List

Comment

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint

Un1kHacking

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint