ローカルプロキシツール【Burp Suite】の拡張機能　ParameterFullChangerExtenderの紹介

こんにちは、セキュリティGの「診断員X」です。某テレビドラマみたいな名前ですが全然関係ありません。名前を出すのが恥ずかしく「診断員X」と名乗らせてもらいます。Webアプリケーション診断を担当しているのですが、Burpを使用して診断を実施するときに、こんなExtenderがあれば便利なのに・・・と診断員なら誰もが一度は思ったことがあるはずです。でも思っているような機能のExtenderを自分で作成するにはハードルが高すぎる！そんな診断員のため、勿論、診断員ではないけれど興味がある方向けに今回の記事を執筆しました。

よく困ることの例として
二重登録※1禁止の制限がある場合、既に同じ値が登録されているとエラーとなり正しく診断することができません。
※1二重登録とは、例えば、会員登録などで同じIDを重複して使用できない場合のことです。このIDは既に登録済です。のようなエラーメッセージが表示されます。

Burp Suiteの基本機能にはない順次代入が設定できる機能が欲しい！
そう思い、「Burp Suite　Extender 順次代入」というキーワードで検索サイトで検索してみましたが、本当にやりたいことができるExtenderの記事を見つけることができませんでした。
診断員なら誰もがとりあえず検索しに行っていると思います。
そこで弊社診断メンバーが独自に診断で使用できるExtenderを作成し、業務に取り入れることに成功しました！

今回作成したExtenderを紹介します。
このExtenderを使用することによって、指定したパラメータの値を任意の値に変更できるようになります。
順次に値を挿入することにより、二重登録が回避でき、スキャンを実施できるようになります。

なお、このソースコードではJSONパラメータに対しては実装されていません。
ソースコードを利用する際には自己責任でお願いします。

1.使い方
2.ソースコード
3.まとめ

1.使い方

STEP 01

ExtenderタブのBurp ExtentionsからAddボタンを押下し、Pythonとしてコードを読み込みます。
[Parameter Full changer]タブが作成されます。

STEP 02

[Parameter Full changer]タブにて、対象のパラメータと置換する値を設定します。

①置換挿入パラメータセットエリア

　デフォルトで設定されます。

SetNo	置換パラメータセットにつき、自動で採番されます。参考までに設定されるだけで、リクエスト送信時に影響しません。利用者が分かりやすいように任意の文字列を上書きできます。
stat	置換パラメータセットをリクエスト送信に利用したか否かのフラグです。既定値は [Not Yet] で、リクエスト送信に利用されると [Done] となります。再送に利用したい場合は、②各種ボタンエリアの[Update to [Not Yet]]ボタンを押下するとステータスが[Done]から［Not Yet］に戻されるため、再度利用可能となります。

SetNo

置換パラメータセットにつき、自動で採番されます。
参考までに設定されるだけで、リクエスト送信時に影響しません。
利用者が分かりやすいように任意の文字列を上書きできます。

stat

置換パラメータセットをリクエスト送信に利用したか否かのフラグです。
既定値は [Not Yet] で、リクエスト送信に利用されると [Done] となります。
再送に利用したい場合は、②各種ボタンエリアの[Update to [Not Yet]]ボタンを押下すると
ステータスが[Done]から［Not Yet］に戻されるため、再度利用可能となります。

② 各種ボタンエリア

[Update to [Not Yet]]ボタン	ステータスを [Done]から［Not Yet］に戻します。
[Delete value set]ボタン	①の置換挿入パラメータセットエリアで選択した値を削除します。
[Remove last parameter]ボタン	最後に追加した置換パラメータセットを削除します。
[All reset]ボタン	設定した値を全て削除します。

③ 置換対象パラメータ名設定エリア

　置換対象のパラメータ名をセットします。
　大文字小文字に関係なく、重複して同じパラメータ名はセットできません。
　①置換挿入パラメータセットエリアの"SetNo", "stat" とは重複可能です。

④ 順次パラメータ設定エリア

　置換後の文字列リストをセットします。
　一行＝一つのレコードとなります。

STEP 03

Repeterで送信します。（IntruderやScanでも使用できます。）

Repeter上では置換内容を確認することができません。
置換内容を確認するには、Logger++などを利用し内容を確認してください。

SetのNo1から順に置換された値が挿入されていることが確認できます。

値が使用されると”stat”のステータスが [Done]に変わります。

2.ソースコード

ソースコード

# coding: UTF-8

from burp import IBurpExtender
from burp import ITab
from burp import IHttpListener
from burp import IMessageEditorController
from java.awt import Component;
from java.io import PrintWriter;
from java.util import ArrayList;
from java.util import List;
from javax import swing;
from javax.swing.table import AbstractTableModel;
from javax.swing.table import DefaultTableModel;

class BurpExtender(IBurpExtender, ITab, IHttpListener, IMessageEditorController, AbstractTableModel):

　　def registerExtenderCallbacks(self, callbacks):
　　　　self._callbacks = callbacks
　　　　self._helpers = callbacks.getHelpers()

　　　　# extensionの名前を設定する
　　　　callbacks.setExtensionName("Parameter Full Changer")

　　　　# メインパネル
　　　　self._jPanel = swing.JPanel()
　　　　self._jPanel.setLayout(swing.BoxLayout(self._jPanel, swing.BoxLayout.Y_AXIS))

　　　　# 設定値テーブル
　　　　colmunName = ["SetNo", "stat"]
　　　　self._tableModel = DefaultTableModel(colmunName, 0)
　　　　self._valueTable = swing.JTable(self._tableModel)
　　　　scrollPane = swing.JScrollPane(self._valueTable)
　　　　self._jPanel.add(scrollPane)

　　　　# ボタンエリア
　　　　self._buttonPanel = swing.JPanel()
　　　　self._updateToNotYetButton = swing.JButton("Update to [Not Yet]", actionPerformed=self.updateToNotYet)
　　　　self._buttonPanel.add(self._updateToNotYetButton)
　　　　self._dleteButton = swing.JButton("Delete value set", actionPerformed=self.deleteParam)
　　　　self._buttonPanel.add(self._dleteButton)
　　　　self._removeParameterButton = swing.JButton("Remove last parameter", actionPerformed=self.removeParameter)
　　　　self._buttonPanel.add(self._removeParameterButton)
　　　　self._allResetButton = swing.JButton("All reset", actionPerformed=self.allReset)
　　　　self._buttonPanel.add(self._allResetButton)
　　　　self._jPanel.add(self._buttonPanel)

　　　　# 設定値作成エリア
　　　　self._makeValuePanel = swing.JPanel()
　　　　self._nameLabel = swing.JLabel("Parameter Name")
　　　　self._nameField = swing.JTextField(50)
　　　　self._resistorButton = swing.JButton("Add", actionPerformed=self.addValue)
　　　　self._makeValuePanel.add(self._nameLabel)
　　　　self._makeValuePanel.add(self._nameField)
　　　　self._makeValuePanel.add(self._resistorButton)
　　　　self._jPanel.add(self._makeValuePanel)

　　　　# 値リスト入力エリア
　　　　self._jTextOut = swing.JTextArea("Set your value list")
　　　　self._jScrollPaneOut = swing.JScrollPane(self._jTextOut)
　　　　self._jPanel.add(self._jScrollPaneOut)
　　　　callbacks.customizeUiComponent(self._jPanel)
　　　　callbacks.customizeUiComponent(self._valueTable)
　　　　callbacks.customizeUiComponent(self._buttonPanel)
　　　　callbacks.customizeUiComponent(self._makeValuePanel)

　　　　# BurpのUIにカスタムタブを追加する
　　　　callbacks.addSuiteTab(self)

　　　　# HTTP listenerとして登録する
　　　　callbacks.registerHttpListener(self)

　　　　return

　　def getTabCaption(self):
　　　　return "Parameter Full Changer"

　　def getUiComponent(self):
　　　　return self._jPanel

　　def processHttpMessage(self, toolFlag, messageIsRequest, currentRequest):
　　　　# 何も設定していない場合のみ後続処理を実行する
　　　　if 0 == self._tableModel.getRowCount():
　　　　　　return

　　　　# Requestの場合のみ後続処理を実行する
　　　　if not messageIsRequest:
　　　　　　return

　　　　# URL が scope に入っている場合のみ後続処理を実行する
　　　　if not self._callbacks.isInScope( currentRequest.getUrl() ):
　　　　　　return

　　　　# 置換元のパラメータを取得
　　　　parameters = self._helpers.analyzeRequest(currentRequest.getRequest()).getParameters()
　　　　row = self._tableModel.getRowCount()

　　　　targetrow = -1
　　　　for i in range (0, row):
　　　　　# 既に置換済みのパラメータセットをスキップする
　　　　　if self._tableModel.getValueAt(i, 1) == "[Done]":
　　　　　　continue
　　　　　# [Done] ではないセットを見つけたら、行位置を格納してループを抜ける
　　　　　else:
　　　　　　targetrow = i
　　　　　　break

　　　　# [Done] ではないセットが見つからず、targetrow が初期値から変更がない場合のみ後続処理を実行する
　　　　if targetrow == -1:
　　　　　return
　　　　used = list() # 使用済みパラメータの index を格納する
　　　　replaceDone = False
　　　　for parameter in parameters:
　　　　　# パラメータ名が一致する値を置換
　　　　　for j in range(2, self._tableModel.getColumnCount()):
　　　　　　# 使用済み index ならスキップする
　　　　　　if j in used:
　　　　　　　continue
　　　　　　if self._tableModel.getColumnName(j) == parameter.getName():
　　　　　　　replaceVal = self._tableModel.getValueAt(targetrow, j)
　　　　　　　try:
　　　　　　　　newParameter = self._helpers.updateParameter(currentRequest.getRequest(), self._helpers.buildParameter(parameter.getName(), replaceVal, parameter.getType()))
　　　　　　　except Exception as e:
　　　　　　　　print(e)
　　　　　　　　print(type(e))
　　　　　　　　print("[Parameter Name]" + parameter.getName())
　　　　　　　　print("[replace value] " + replaceVal)
　　　　　　　　print("[Parameter Type]" + parameter.getType())
　　　　　　　currentRequest.setRequest(newParameter)
　　　　　　　replaceDone = True
　　　　　　　# 使用済み index としてリストに追加する
　　　　　　　used.append(j)
　　　　　　　break

　　　　# パラメータ置換を利用したセットのステータスを変更
　　　　if replaceDone:
　　　　　self._tableModel.setValueAt("[Done]", targetrow, 1)

　　　　return

　　# Deleteボタンテーブルの選択した行を削除する
　　def deleteParam(self, event):
　　　　return self._tableModel.removeRow(self._valueTable.getSelectedRow())

　　# all reset ボタンテーブルを初期化し再作成する
　　def allReset(self, event):
　　　　# 列数をデフォルトの２に設定しなおす
　　　　# これで３つ目以降の列が削除される
　　　　self._tableModel.setColumnCount(2)
　　　　# すべての行を削除する
　　　　row = self._tableModel.getRowCount()
　　　　for i in range (0, row):
　　　　　self._tableModel.removeRow(0)
　　　　# 再描画
　　　　self._valueTable.getTableHeader().resizeAndRepaint();
　　　　return

　　# Addボタン入力された設定値をテーブルに追加する
　　def addValue(self, event):
　　　　name = self._nameField.getText()
　　　　values = self._jTextOut.getText().split(" ")
　　　　if name != "":
　　　　　　# 設定値テーブルの件数より追加するパラメータリストの件数が多ければ
　　　　　　# 設定値テーブルの内容を調整する
　　　　　　while self._tableModel.getRowCount() < len(values):
　　　　　　　seqno = self._tableModel.getRowCount() + 1
　　　　　　　self._tableModel.addRow([seqno, "[Not Yet]"])
　　　　　　# 新規パラメータリストを追加
　　　　　　self._tableModel.addColumn(name, values)
　　　　return

　　# 全レコード[Not Yet]更新
　　def updateToNotYet(self, event):

　　　row = self._tableModel.getRowCount()
　　　for i in range (0, row):
　　　　self._tableModel.setValueAt("[Not Yet]", i, 1)

　　　return

　　# パラメータ削除（列削除）ボタン
　　def removeParameter(self, event):
　　　# 既にデフォルトの２列だったら削除しない
　　　if self._tableModel.getColumnCount() < 3:
　　　　return

　　　# 列数の設定を現状から一つ減らすことで列削除を実現する
　　　self._tableModel.setColumnCount(self._tableModel.getColumnCount() - 1)
　　　return

3.まとめ

探していた内容のExtenderでしたか。ハードルが高くて自分では作成できないと思っていた方も、ブログ内のソースコードを利用するだけで簡単に試すことができます。気になった方は是非お試しください。
※ソースコードを利用する際には自己責任でお願いします。

自社のサイト診断をご検討中の方、再委託ベンダーをお探しの方、派遣診断員の増員を希望の方はいらっしゃいますでしょうか。
パーソルクロステクノロジーの脆弱性診断サービスは、診断士の派遣、再委託診断も対応が可能となります。下記、リンク先よりお気軽にご相談ください。

脆弱性診断｜パーソルクロステクノロジー

記事一覧に戻る