Skip to main content

不夸张,MITM真是网安人的神器

Q16G Yak Project 2024-07-19 17:28



内置规则 主要是在被动扫描部分,从mitm经过的请求包/返回包会在这部分进行规则匹配,在渗透测试过程中,我们会常常发现有信息泄漏、框架指纹、密钥、配置信息泄漏等,他们都在返回包的不同位置进行展示,我们可以编写规则来进行检测。

在yak中也内置了一部分内容规则来使用,我们可以点击右侧的齿轮⚙️来进行查看和编写规则。内置的规则偏向于信息泄漏部分,可以扩充自己的cms或者OA的指纹规则,或者导入自己的规则。(也可以勾选mitm插件)格式为: 

[    {        "Rule": "M1-Server 已启动,您可以使用移动设备登录M1",        "NoReplace": true,        "Color": "green",        "EnableForResponse": true,        "EnableForHeader": true,        "EnableForBody": true,        "Index": 1,        "ExtraTag": [            "致远 M1"        ],        "VerboseName": "致远 M1"    } ]

 

下游代理的意思是,请求在经过yak-mitm之后流向的一个下游监听地址。可以配置但不仅限于下面的几种。

  • 内网穿透在公网上的映射(内网渗透常用,无特征)
  • 出口代理可以配置本地的出口代理,比如clash,v2ray等
  • 和扫描器进行联动使用。

使用前请先安装证书,参考 Yakit 证书安装。

热加载指的是在我们mitm在对经过流量的request、response进行hook,主要分为下面几种。

流量镜像:#

  • mirrorHTTPFlow:镜像全流量
  • mirrorFilteredHTTPFlow:镜像过滤流量
  • mirrorNewWebsite:每新出现一个网站,这个网站的第一个请求,将会在这里被调用!
  • mirrorNewWebsitePath:每新出现一个网站路径,关于这个网站路径的第一个请求,将会在这里被传入回调
  • mirrorNewWebsitePathParams:每新出现一个网站路径且带有一些参数,参数通过常见位置和参数名去重,去重的第一个 HTTPFlow 在这里被调用

流量劫持:#

  • hijackHTTPRequest:劫持http流量。
  • beforeRequest:发送到服务端之前进行hook。
  • afterRequest:再对返回包进行hook。

上面介绍了这么多的流量镜像函数和流量劫持函数,在热加载的时候到底如何正确的使用,将通过下面的几个常见场景来进行介绍。

场景分析1:对网站的返回包进行分析#

下面针对于网站返回包中含有js代码,我们想获取到js中的请求路径,我们选择的是mirrorNewWebsitePath。启动一个简单的demo,返回包的内容如下。 

[    {        "Rule": "M1-Server 已启动,您可以使用移动设备登录M1",        "NoReplace": true,        "Color": "green",        "EnableForResponse": true,        "EnableForHeader": true,        "EnableForBody": true,        "Index": 1,        "ExtraTag": [            "致远 M1"        ],        "VerboseName": "致远 M1"    } ]

在热加载中使用的代码为:

思路:用xpath取出script中的内容,用syntax-flow来进行js分析 

mirrorNewWebsitePath = func(isHttps /*bool*/, url /*string*/, req /*[]byte*/, rsp /*[]byte*/, body /*[]byte*/) {    htmlnode:=xpath.LoadHTMLDocument(string(body))~    res = xpath.Find(htmlnode, `//script`)    for _,node :=range res{        script = xpath.InnerText(node)        if script!=""{            prog:=ssa.Parse(script.Trim(" ","\n"), ssa.withLanguage(ssa.Javascript))~            result :=prog.SyntaxFlowWithError(`.open(,* #-> * as $param)`)~            yakit_output(result.GetAllValues())        }    }}

场景分析2:对请求包中的某个参数进行加密或者修改#

选择到的hijackHTTPRequest或者beforeRequest,这里我选择使用hijackHTTPRequest,需求:
我们需要手动添加auth header头。
加密可以使用codec里面的插件 

hijackHTTPRequest = func(isHttps, url, req, forward /*func(modifiedRequest []byte)*/, drop /*func()*/) {    req = poc.ParseBytesToHTTPRequest(req)~    if req.Host=="10.211.55.11:8133"{        forward(poc.ReplaceHTTPPacketHeader(req, "Auth", "123"))    }else{        return req    }}

场景分析3:对返回包进行解密#

可以选择hijackHTTPResponse、afterRequest,这里选择一个hijackHTTPResponse,场景需求:返回包内容是进行的base64解密,我们需要进行解密。热加载代码如下 

hijackHTTPResponse = func(isHttps, url, rsp, forward, drop) {    host,port = str.ParseStringToHostPort(url)~    if host=="10.211.55.11"{        body = poc.GetHTTPPacketBody(rsp)        _body = codec.DecodeBase64(body)~        forward(poc.ReplaceHTTPPacketBody(rsp, _body))    }else{        forward(rsp)    }}

 

yak-mitm在多个场景中有不同的应用,热加载模式是可以直接对request和response进行劫持和hook,可以和ssa进行很好的融合。是一个非常方便的功能。内置规则和内置插件也在渗透测试过程中有发挥更好的效果。

END
YAK官方资源
Yak 语言官方教程:
https://yaklang.com/docs/intro/Yakit
视频教程:
https://space.bilibili.com/437503777Github
下载地址:
https://github.com/yaklang/yakitYakit
官网下载地址:
https://yaklang.com/Yakit
安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ


长按识别添加工作人员 开启Yakit进阶之旅