利用burp精准定位攻击者

 技术交流

 关注微信公众号 Z20安全团队 , 回复 加群 ，拉你入群 一起讨论技术。

直接公众号文章复制过来的，排版可能有点乱， 可以去公众号看。

burp是web渗透中，最常用的工具了，如果我们能找到谁对我们的网站用了burp代理进行测试，那那个人就十有八九是攻击者了。

原理

用过burp的都知道，如果默认安装配置的话，挂上burp，访问

http://burp

会出现如下页面：

除了`http://burp`之外，还有：

http://127.0.0.1:8080/     #8080端口不是固定，是burp的代理端口http://burpsuite/

也会出现如上界面。

注意观察上图，左上角有burp的图标，和其他大部分网站一样，访问

http://xxxx/favicon.ico

会得到网站的图标：

我们可以利用这一点来判断访问我们网站的用户，是否使用了burp代理，进而来确定是否是攻击者。

基础

简单写一个测试页面：

index.html​​​​​​​

<html><head>  <title>burp test</title>  <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head>

<body>  <img src="http://burp/favicon.ico" onload="alert('Burp is being used')" ></body></html>

然后，开启burp代理的用户访问这个页面，就会触发：

进阶

我们利用这个点可以做些什么呢：

将burp检测代码插入到网站的正常js文件中，检测到使用burp之后，记录攻击者ip，然后封禁ip，这样攻击者再次访问时就会被拦截；

检测代码放在正常网站的敏感位置，例如登录页面，检测到使用burp之后，记录攻击者ip，然后引导攻击者进入蜜罐或者引导攻击者下载exe；

......

......

这里写了个demo来简单演示一下：

【视频没有办法播放，建议公众查看 利用burp精准定位攻击者】

然后会将攻击者ip记录到attacker.txt文件：

当然，你还有很多方法来完善它，这里仅是演示一下效果...

防护

那么怎么防止被发现呢？

最简单的方式就是在设置代理的时候，对如下三个主机名不使用代理：

另一种方式是在burp options中，如下两个选项下打勾

技术交流

交流群

关注公众号回复“加群”，添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。