Burp Suite の Parameter changer (Extender) を JSON フォーマットのリクエストで使用する方法

これは シーエー・アドバンス Advent Calendar2023 21日目の記事です。
昨日は @asami-H-Ishi さんの脆弱性診断実施前にする対象調査の時点で「ある問題」を見つけたらチケットを起票しているよ、の話でした。
脆弱性診断の流れなども分かりやすく書かれているので是非チェックしてみてください。
明日は @syuta5825 さんの記事です。

はじめに

初めまして。
シーエー・アドバンス(CAAD)技術統括本部セキュリティチームの @azama_yasuhiro です。
社内(グループ会社含む)サービスの脆弱性診断に関わる業務を行っています。
普段の業務では Burp Suite というローカルプロキシツールを使用して診断をしています。
今回は弊社でよく利用している Parameter changer という拡張機能を JSON フォーマットのパラメータで動作させる方法を紹介します。
Parameter changer は例えばパラメータにユニークキーが設定されており、二重登録ができない場合などに指定したパラメータを任意の値に書き換えてくれる拡張機能です。
詳しくは参考の (Webアプリケーション診断ツール「Burp Suite」のExtention紹介(二重登録エラー回避機能)) をご参照ください。

検証環境

• macOS Monterey v12.6.9
• Burp Suite Professional v2023.10.3.6
• jython-standalone-2.7.2.jar

事前準備

1. まずはじめに Python 環境を準備するため Jython の公式サイトより Jython Standalone の jar ファイルをダウンロードし任意の場所に配置します。
   

2. 次に Burp を起動し Extentions > Extentions settings > Python Environment の 「Location of Jython standalone JAR file:」 にダウンロードしたファイルを指定します。
   
   これで Python 環境の準備が完了です。

3. 次にこちらのコードをコピーして任意の名前を付けファイルを保存し、Burp の Extensions から読み込みます。
   Errors タブに Error が表示されなければ読み込み完了です。
   

JSON フォーマットでの使用

※通常使用については、「参考」に記載したこちらをご参考ください。

1. 書き換えたいリクエストの内容を確認します
   
2. 書き換えたい値をパラメータ化し、Content-Type を text/htmlに変更します
   
   ※text/html に変更することで Parameter changer でパラメータとして認識されます。
   ※パラメータ名は任意の名前で大丈夫です
   ※パラメータが複数ある場合など、対象としたいパラメータとそれ以外のパラメータになるようにパラメータ化します
   (今回も実際の使用を想定してパラメータを2つにしています)
3. パラメータ化できたら書き換えたい値のリストを作成します
   
4. Upstream proxy servers を設定し、2つ目の Burp にリクエストを送ります
   
5. 2つ目の Burp の Match and replace rules で下記3つの設定を行います
   
   ※「test=」「&test2=」はパラメータ化で使用した「test=」「&test2=」を空にする設定をしています
   ※「Content-Type: text/html」は json 形式に戻るように「Content-Type: application/json」に置き換える設定をしています
6. Parameter changer に3で作成したリストをセットします
   
   ※上のWindowにはパラメータ化に使用したパラメータ名が入ります
7. リストをセットしたら Repeater・Intruder でリクエストを送信します
8. これで無事正常なレスポンスが返ってくる確認ができました
   
   ※２つ目の Burp で変換されているため１つ目の Burp で見えるリクエストは元のリクエストのままの状態です
9. 変換されている状況は2つ目の Burp で確認が可能です
   
   ※こちらが5の Match and replace での変換前の Parameter changer のみが適応されてる状態です
   
   ※こちらが最終的に変換されて送られているリクエストです

注意点

• よく忘れがちなのですが、Target scope に対象のドメインを追加しないと Parameter changer が反応してくれなくなるのでご注意ください
• パラメータ化した際に使用した & も Match and replace で一緒に書き換えるのを忘れないようご注意ください
• Parameter changer の対象とするパラメータは元々のパラメータ名ではなく、自身が設定したパラメータ名となるのでご注意ください

終わりに

今回のように複数の Burp Suite を組み合わせることで値の書き換えやMacroなど柔軟に診断を行うことができますので、ご参考いただければ幸いです。
また、今回の記事を書くにあたり、ローカル環境で対象のリクエストを作成するのに少し手間取りましたが、@arakaki_yogo さんのゼロから始めるブラウザゲーム生活 ~with GPT~の記事を参考に、 ChatGPT を活用してみたところ15分ぐらいで対象のリクエストを作ることができました。
これからは ChatGPT もどんどん活用し業務や開発力の向上に役立てていければと思います。
最後までお読みいただきありがとうございます。
この記事が少しでも Burp Suite を使用する方の助けになれば幸いです。

参考

• (Webアプリケーション診断ツール「Burp Suite」のExtention紹介（二重登録エラー回避機能）)
• Jython
• ゼロから始めるブラウザゲーム生活 ~with GPT~