自己动手打造Fiddler挖洞插件

2015-08-30 555800人围观 ,发现 23 个不明物体 工具

对于一个Web开发人员来说,Fiddler并不陌生。作为一款Web调试利器,它拥有强大的调试功能,灵活的配置以及丰富的可扩展功能。我在开发工作中,最喜欢的就是它的Inspectors和AutoResponder功能。另外,它可以解密HTTPS数据,支持反向代理,也可用于中间人攻击。

对于一个对代码有洁癖的人来说,不仅在代码格式上有严格的要求,对代码的健壮性,安全性同样苛刻。因此,就连小小的(Full path disclosure)爆物理路径的bug也不容许存在。

当我是coder的时候,我用的工具是Fiddler,当我是一个hacker的时候,我用的是burp suite。由于我对java 没有一点好感,也对它不甚了解。所以我选择开发一个Fiddler插件帮助我检查出web系统中存在的爆路径页面。个人认为, Fiddler比burp suite更”接地气”。

开发的语言我选择的是.NET语言中的C#。原因是Fiddler本身就是用C#编写,它对.NET的扩展有良好的支持。

设计原理与思路

设计这个插件的原理是这样子的:在php中,有这样一些不安全的特性,比如htmlspecialchars这个函数,很多coder喜欢用这个函数来过滤用户的输入,测试代码如下:

<?php
echo htmlspecialchars($_GET['param1']);
?>

当我们构造这样一个url时,http://localhost/test.php?param=1就会发现页面爆路径了。

看图:

报错级别为警告,具体原因是说,htmlspecialchars这个函数需要的是string 而你却插入了一个array。紧接着后面就爆出了物理路径。

在php中类似于htmlspecialchars因为传入一个数组而爆路径的函数有很多。像trim等操作字符串的函数。或许这样一个小小的bug只需要一个简单粗暴,快速有效的办法即可完美搞定。那就是在php文件开头添加

<?php
error_reporting(0);
......
?>

即可。可是貌似很多知名的CMS却不会选择这种方法。

插件处理请求的大体思路是这样子的,看下图:

到此,我们已经搞清楚了设计原理和设计思路。接下来就开始编写这个插件吧。

编写插件

在编写插件前,首先要搞清楚开发Fiddler插件的接口。

具体的说明可以参考Fiddler官网。http://docs.telerik.com/fiddler/Extend-Fiddler/ExtendWithDotNet

官方说明文档并未详细讲解Fiddler插件开发的一些细节。只能通过Reflector工具反编译Fiddler库,或者直接使用Visual Studio引用Fiddler库,查看其内部实现的细节。

当然我们最需要搞清楚这几个接口方法就行了,如下:

    public void OnLoad(){ 
        /* 在这编写加载插件是需要执行的code 如加载UI */ }
    public void OnBeforeUnload() {
        /*编写在unload插件之前所要执行的code*/ } 
    public void AutoTamperRequestBefore(Session oSession){
        /*在这编写请求之前需要执行的code */}
    public void AutoTamperRequestAfter(Session oSession){ 
        /*在这编写请求之后需要执行的code */}
    public void AutoTamperResponseBefore(Session oSession){
        /*在这编写响应之前需要执行的code */}
    public void AutoTamperResponseAfter(Session oSession){
        /*在这编写响应之后需要执行的code */}
    public void OnBeforeReturningError(Session oSession){
        /*在这编写有错误返回时需要执行的code */}

打开visual studio 2013 新建Visual C#项目,项目类型选择类库(library),.NET Framework版本根据所要开发的插件的功能选择吧。

建立项目后有以下几个事情要做:

1.添加引用,将Fiddler库和Forms程序集加入到project中。
2.建议添加一个类,用于UI的设计和加载以及相关控件的事件处理。
3.为了方便调试,在项目属性的生成事件中,将编译好的dll复制到Fiddler的插件目录。

插件目录说明:

一般来说用户自定义的插件建议放在: %userprofile%\Documents\Fiddler2\Scripts中。

当然你也可以放在Fiddler安装目录下的Scripts文件夹中。

如下图:

UserInterface类的代码如下:

class UserInterface : UserControl
    {
        private TabPage tabPage; //添加一个标签页 用来放置控件
        private CheckBox chkb_Enabled;  //用来启用或禁用插件
        private TextBox textBox_Result;  //用来保存最后的结果
        private Button btn_Clear;  //清空按钮
        public bool bEnabled; 
        public delegate void Delegate_AddResult(string strUrl);//定义输出结果的委托
        public UserInterface()
        {
            this.bEnabled = false;
            this.InitializeUI();
            FiddlerApplication.UI.tabsViews.TabPages.Add(this.tabPage); //新建一个tabPage
        }

        public void InitializeUI() //初始化UI
        {
            this.tabPage = new TabPage("爆路径检测");
            this.tabPage.AutoScroll = true;

            this.chkb_Enabled = new CheckBox();
            this.chkb_Enabled.Top = 10;
            this.chkb_Enabled.Left = 20;
            this.chkb_Enabled.Text = "Enable";
            this.chkb_Enabled.Checked = false;  //初始化为不选中

            this.btn_Clear = new Button();
            this.btn_Clear.Text = "Clear";
            this.btn_Clear.Left = 200;
            this.btn_Clear.Top = 10;
            this.Enabled = false;
            
            this.textBox_Result = new TextBox();
            this.textBox_Result.Top = 50;
            this.textBox_Result.Left = 20;
            this.textBox_Result.Width = 1000;
            this.textBox_Result.Height = 600;
            this.textBox_Result.ReadOnly = true;
            this.textBox_Result.Multiline = true;  //多行显示
            this.textBox_Result.ScrollBars = ScrollBars.Vertical;  //垂直滚动条

            this.tabPage.Controls.Add(this.chkb_Enabled);
            this.tabPage.Controls.Add(this.btn_Clear);
            this.tabPage.Controls.Add(this.textBox_Result);

            /*给chkb_Enabled添加CheckedChanged事件处理*/
            this.chkb_Enabled.CheckedChanged += new EventHandler(this.chkb_Enabled_CheckedChanged);
            this.btn_Clear.Click += new EventHandler(this.btn_Clear_Click);
        }

        private void btn_Clear_Click(object obj, EventArgs args)
        {
            this.textBox_Result.Text = "";
        }
        private void chkb_Enabled_CheckedChanged(object obj, EventArgs args)
        {
            this.SuspendLayout();
            this.bEnabled = this.chkb_Enabled.Checked;
            this.btn_Clear.Enabled = this.bEnabled;
            this.ResumeLayout();
        }

        public void AddResult(string strUrl)
        {
            if (!this.textBox_Result.InvokeRequired)
                this.textBox_Result.AppendText(strUrl + "\r\n");
            else
            {
                Delegate_AddResult delegate_addresult = new Delegate_AddResult(this.AddResult);
                this.textBox_Result.Invoke(delegate_addresult, strUrl);
            }
        }

    }

最终设计好的UI如下如所示,点击Enable可以启用或禁用插件

接下来开始编写处理url的code。

处理的具体思路如下:

处理请求的代码如下:

    try
    {
            if(oSession.RequestMethod == "GET")
            {
                if (this.geturlList.Contains(oSession.url) || this.xGETurlList.Contains(oSession.url))
                    return;
                this.geturlList.Add(oSession.url);
                this.strParams = oSession.url.Split('?')[1];
                string[] Params = strParams.Split('&');
                foreach (string strParamname in Params)
                {
                    string strUrl = oSession.url;
                    strUrl = strUrl.Replace(strParamname.Split('=')[0], strParamname.Split('=')[0] + "[]");
                    this.xGETurlList.Add(strUrl);     
                    FiddlerApplication.oProxy.InjectCustomRequest(oSession.ToString().Replace(oSession.url, strUrl));
                }
            }
            else if(oSession.RequestMethod == "POST")
            {
                if (this.posturlList.Contains(oSession.url) && this.xPOSTdataList.Contains(oSession.GetRequestBodyEncoding().GetString(oSession.requestBodyBytes)))
                    return;
                this.posturlList.Add(oSession.url);
                this.xPOSTdataList.Add(oSession.GetRequestBodyEncoding().GetString(oSession.requestBodyBytes));
                this.strParams = oSession.GetRequestBodyEncoding().GetString(oSession.requestBodyBytes);
                string[] Params = strParams.Split('&');
                foreach (string strParamname in Params)
                {
                    String strData = oSession.ToString();
                    strData = this.strParams.Replace(strParamname.Split('=')[0], strParamname.Split('=')[0] + "[]");
                    this.xPOSTdataList.Add(this.strParams.Replace(strParamname.Split('=')[0], strParamname.Split('=')[0] + "[]"));
                    StringDictionary dictionary = new StringDictionary();
                    dictionary["Flag"] = "FreeBuf";
                    FiddlerApplication.oProxy.InjectCustomRequest(oSession.oRequest.headers, oSession.GetRequestBodyEncoding().GetBytes(strData), dictionary);
                }
            }
    }catch { }

接下来就是对提交了构造好的HTTP数据包进行响应的判断。

根据爆路径后Web页面内容的对比,使用如下正则进行匹配,判断页面是否存在物理路径。

PHP\s*\w*\:.*\/\w*.php

处理响应的关键代码如下:

if (oSession.responseCode == 404)
                    return;
                if (this.xGETurlList.Contains(oSession.url) || this.posturlList.Contains(oSession.url))
                {
                    string strResponse = oSession.GetResponseBodyAsString().Replace('\\',  '/');
                    this.regex = new Regex(@"PHP\s*\w*\:.*\/\w*.php");
                    this.m = this.regex.Match(strResponse);
                    if (this.m.Success)
                    {
                        if (oSession.RequestMethod == "GET")
                            this.ui.AddResult("[" + oSession.RequestMethod + "]    " + oSession.url);
                        else if (oSession.RequestMethod == "POST")
                        {
                            this.ui.AddResult("[" + oSession.RequestMethod + "]    " + oSession.url);
                            this.ui.AddResult("[POST Data:]    " + oSession.GetRequestBodyEncoding().GetString(oSession.requestBodyBytes));
                        }
                    }
                }

到此,这个爆路径检测的插件基本就写好了。但是还不够完美。不过已经可以满足我的需求了。

测试

接下来我们进行实战测试。看看功能是否完好。

test.php是我自己用来测试的一个文件。也无意间测试到

phpMyAdmin-3.3.9中存在一个爆路径页面,还有concrete5  CMS 也存在爆路径的页面。

总结

爆路径这种漏洞,其价值说大也大,说小也小。而且与你搭建的环境和编写的代码都有一定的关系。现在这个插件还有很多不足的地方,需要改进。另外,我们也可以用类似的思路,去发掘XSS,CSRF,SQLi,LFI等常见的WEB漏洞。

对于Fiddler插件开发中有几个问题需要引起重视:

1)  给插件添加一个switch,不要默认直接被Fiddler加载,会影响Fiddler性能。
2)  必须使用委托来对UI进行操作,这是Fiddler官方的要求。否则会触发异常。
3)  对提交自定义的请求,必须进行”查重”检查,因为自定义的请求也是通过Fiddler代理进行发送的,否则会进入死循环。你可以在数据中添加标记,如header ,也可以使用我现在这个的办法,将已处理的请求保存起来,可以使用ArrayList也可以使用泛型List。实际上,Fiddler的InjectCustomRequest的一个重载的方法是支持添加flag的。

Fiddler已经诞生了十几年,其功能还再不断的完善。更多的开发特性还需要继续去挖掘去探索。

插件源码下载

*本文作者:丝绸之路,本文属FreeBuf原创奖励计划,未经许可禁止转载

更多精彩
相关推荐

这些评论亮了

  • 丝绸之路 (5级) 别问我是谁,我就是我啊! 回复
    @ money 你觉得Fiddler 和 Burp suite 能一样么?用过再说话
    )8( 亮了
  • GOOD!Freebuf 越来越缺少像这样的分享思路,也能分享代码的好文章了。mark!
    )6( 亮了
发表评论

已有 23 条评论

取消
Loading...

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      活动预告

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php