Burp Suite Extension Development Guide

Burp Suite是什么？

Burp Suite是一款Web应用程序渗透测试工具，可以帮助用户发现和利用Web应用程序中的漏洞，提高渗透测试的效率和精度。

Web应用程序最常用的传输数据的协议就是HTTP/HTTPS，所以我们将从HTTP协议的数据格式开始介绍。

HTTP/HTTPS协议内容简要划分

Burp中最为核心的对象就是HTTP数据包，我们的所有操作、各种API接口都是围绕HTTP数据包展开的。下图对HTTP数据包进行划分：

数据映射表：

插件能对HTTP数据包做的操作无非“增删查改”四种，下面这段代码对常用操作均进行了演示。

https://github.com/bit4woo/burp-api-drops/blob/master/src/burp/Lession5.java

请求包：

• header 的 获取、删除、新增、修改

• body 的 获取、修改

• parameter 的 获取、删除、新增、修改

• 发送一个新的请求

响应包：

• header 的 获取、删除、新增、修改

• body 的 获取、修改

httpService:

• host 的 获取、修改
• port 的 获取、修改
• protocol 的 获取、修改

插件的调用原理介绍

以下全文将以Java语言的视角展开，

1. 插件的总入口是BurpExtender类，该类是必须得实现IBurpExtender接口；

2. 当实现IBurpExtender接口后，会要求重写registerExtenderCallbacks()方法，而该函数的作用就是注册回调，当自己的写的插件需要哪些API支持的时候，都需要在该函数中进行注册，这样burp在执行的时候，会读取自己写的插件代码是否有回调注册，如果有就进行执行相应代码。

基本逻辑流程如下：

BurpExtender类————> registerExtenderCallbacks()方法 ————> 调用Callbacks.registerXxx接口名称(this) ————> 去执行注册接口的方法

Burp Suite的API的简要划分

Burp Suite 提供了丰富的插件接口，可以让开发者编写自定义插件，扩展 Burp Suite 的功能。 最新版本的APIs还是挺多的，想要高效的编写出插件，还是得了解你的需求，根据需求去匹配使用相关接口，下面我列举一些常用的 Burp Suite 插件接口类：

• IBurpExtender 接口：该接口用于定义 Burp Suite 插件的入口点，即插件的主类。在该接口的 registerExtenderCallbacks 方法中，开发者可以注册其他插件接口类和事件监听器。

• IExtensionStateListener 接口：该接口用于定义插件状态的变化监听器。开发者可以通过实现该接口，监视插件的启动、停止和卸载等事件，并在这些事件发生时执行自定义的操作。

• IHttpListener 接口：该接口用于定义 HTTP 拦截器。通过实现该接口，开发者可以在 Burp Suite 中拦截 HTTP 请求和响应，并实现自定义的处理逻辑，例如修改请求或响应、分析参数等。

• IScannerCheck 接口：该接口用于定义漏洞扫描器。通过实现该接口，开发者可以编写自定义的漏洞检测逻辑，并将其集成到 Burp Suite 的漏洞扫描器中，从而提高漏洞检测的效率和精度。

• IIntruderPayloadGenerator 接口：该接口用于定义 Intruder 负载生成器。通过实现该接口，开发者可以编写自定义的负载生成逻辑，并将其集成到 Burp Suite 的 Intruder 工具中，用于进行爆破和暴力破解等攻击。

• IContextMenuFactory 接口：该接口用于定义右键菜单工厂。通过实现该接口，开发者可以向 Burp Suite 的右键菜单中添加自定义的菜单项，并实现菜单项的点击事件。

• IMessageEditorTabFactory 接口：该接口用于定义消息编辑器选项卡工厂。通过实现该接口，开发者可以向 Burp Suite 的消息编辑器中添加自定义的选项卡，并实现选项卡的内容显示和编辑功能。

开发流程简介

大体步骤如下：

• 创建项目、导入jar包
  
  开发插件有些规定需要记住，目录名必须设置成burp目录，类名即文件名必须是BurpExtender。
  
  导入burp的接口jar包有多种方式，我下面以maven的方式举例：

<dependencies>
    <!-- https://mvnrepository.com/artifact/net.portswigger.burp.extender/burp-extender-api -->
    <dependency>
        <groupId>net.portswigger.burp.extender</groupId>
        <artifactId>burp-extender-api</artifactId>
        <version>1.7.22</version>
    </dependency>
</dependencies>

• 开发功能模块
• 编译打包

<build>
    <plugins>
        <plugin>
            <groupId>org.apache.maven.plugins</groupId>
            <artifactId>maven-assembly-plugin</artifactId>
            <executions>
                <execution>
                    <phase>package</phase>
                    <goals>
                        <goal>single</goal>
                    </goals>
                </execution>
            </executions>
            <configuration>
                <descriptorRefs>
                    <descriptorRef>jar-with-dependencies</descriptorRef>
                </descriptorRefs>
            </configuration>
        </plugin>
    </plugins>
</build>

打开终端，输入打包jar包命令:

mvn clean install

• Burp Suite导入刚编译好的jar包进行测试、使用。

案例1 —— 对HTTP\HTTPS数据流处理

如果想要实现对HTTP\HTTPS数据的操作，那么就需要了解IHttpListener接口中的processHttpMessage方法，

Burp的IHttpListener接口用于扩展Burp Suite的HTTP拦截器，通过实现该接口可以在HTTP请求和响应被拦截时执行一些自定义的操作。

IHttpListener接口中的processHttpMessage方法用于处理拦截到的HTTP请求和响应，其方法签名如下：

void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo);

其中:

• toolFlag 参数表示触发拦截的工具，可以是 Burp Suite 中的 Proxy、Scanner、Spider 等工具；
• messageIsRequest 参数表示拦截到的消息是请求还是响应；
  • 当 messageIsRequest 参数为 true 时，表示拦截的是请求内容；
  • 当 messageIsRequest 参数为 false 时，表示拦截的是响应内容；
• messageInfo 参数表示拦截到的HTTP请求/响应的详细信息，包括请求/响应头、请求/响应体、请求/响应的地址、协议版本等等。

在实现IHttpListener接口时，通常会在processHttpMessage方法中编写自定义的处理逻辑，比如对请求/响应进行修改、分析请求/响应的参数等，从而实现自定义的HTTP拦截功能。

总之，通过实现IHttpListener接口，并在其中实现processHttpMessage方法，可以为Burp Suite的HTTP拦截器添加自定义的处理逻辑，从而提高渗透测试的效率和精度。

下面主要讲解一个通过对HTTP\HTTPS数据流的拦截、处理，在head添加 X-forwarded-for 一个请求头，伪造客户端IP测试的案例。

可以配合在线工具，进行测试：

https://uutool.cn/mock/

主要用来模拟服务端收到请求后，查看请求内容。

code:

package burp;

import burp.IBurpExtender;
import burp.IBurpExtenderCallbacks;
import burp.IExtensionHelpers;

import java.io.FileWriter;
import java.io.IOException;
import java.io.PrintWriter;
import java.io.UnsupportedEncodingException;
import java.util.List;

public class BurpExtender implements IBurpExtender, IHttpListener, IExtensionStateListener {
    private IExtensionHelpers helpers;
    private IBurpExtenderCallbacks callbacks;
    private PrintWriter stdout;
    private PrintWriter stderr;

    @Override
    public void registerExtenderCallbacks(IBurpExtenderCallbacks iBurpExtenderCallbacks) {
        this.callbacks = iBurpExtenderCallbacks;
        //设置插件名字
        callbacks.setExtensionName("Demo1");
        this.helpers = callbacks.getHelpers();

        // 一定要注册监听器，不然下面的函数无法生效
        callbacks.registerHttpListener(this);
        callbacks.registerExtensionStateListener(this);

        this.stdout = new PrintWriter(callbacks.getStdout(), true);
        this.stderr = new PrintWriter(callbacks.getStderr(), true);

        // 打印信息在UI控制台页面 Output and Errors
        stdout.println("Hello Demo1 Extender !");
        stderr.println("Error Info Show.");
    }

    @Override
    public void processHttpMessage(int i, boolean b, IHttpRequestResponse iHttpRequestResponse) {
        //设置http监听模块为Burpsuiteproxy模块
        if (i == IBurpExtenderCallbacks.TOOL_PROXY) {

            if (b) { //对请求包进行处理

                //获取协议 端口 和主机名
                IHttpService service = iHttpRequestResponse.getHttpService();
                stdout.println("=============***============= Protocol host port :" + service.getProtocol() + " " + service.getHost() + " " + service.getPort());

                //对消息体进行解析,messageInfo是整个HTTP请求和响应消息体的总和，各种HTTP相关信息的获取都来自于它，HTTP流量的修改都是围绕它进行的。
                IRequestInfo analyzeRequest = helpers.analyzeRequest(iHttpRequestResponse);

                // 获取参数
                List<IParameter> parameList = analyzeRequest.getParameters();
                //获取参数 、遍历参数
                for (IParameter para : parameList) {
                    //获取参数
                    String key = para.getName();
                    //获取参数值(value)
                    String value = para.getValue();
                    int type = para.getType();
                    stdout.println("parameters key value type :" + key + " " + value + " " + type);
                }

                // 更新拦截处理后的数据  +
                IRequestInfo analyIRequestInfo = helpers.analyzeRequest(iHttpRequestResponse);
                //获取整个请求数据内容
                String request = null;
                try {
                    request = new String(iHttpRequestResponse.getRequest(), "UTF-8");
                } catch (UnsupportedEncodingException e) {
                    throw new RuntimeException(e);
                }

                //通过上面的analyIRequestInfo得到请求数据包体（body）的起始偏移
                int bodyOffset = analyIRequestInfo.getBodyOffset();

                //通过起始偏移点得到请求数据包体（body）的内容
                byte[] body = null;
                try {
                    body = request.substring(bodyOffset).getBytes("UTF-8");
                } catch (UnsupportedEncodingException e) {
                    throw new RuntimeException(e);
                }

                //通过上面的analyIRequestInfo得到请求数据的请求头列表
                List<String> headers = analyIRequestInfo.getHeaders();//获取http请求头的信息

                //生成X-Forwarded-For请求头 包括请求头的key（X-Forwarded-For）及随机生成的IP
                String xForwardFor = "X-Forwarded-For: " + RandomIP.getRandomIP();

                //新增header头, 添加x-forwarded-for请求头，伪造客户端IP测试
                headers.add(xForwardFor);
                headers.add("Test-Head: I am a test data!!!");

                //遍历请求头
                for (String header : headers) {
                    stdout.println("header : " + header);
                }

                //重新构造了请求数据
                byte[] newRequest = helpers.buildHttpMessage(headers, body);

                //打印出重新构造的请求数据测试
                stdout.println(helpers.analyzeRequest(newRequest).getHeaders());

                //重新构造的新请求数据, 因为里面已经包含有我们添加的X-Forward-For
                iHttpRequestResponse.setRequest(newRequest);

            } else {//对响应包进行处理
                // Response
                IResponseInfo analyzeResponse = helpers.analyzeResponse(iHttpRequestResponse.getResponse());
                //获取响应码信息
                short statusCode = analyzeResponse.getStatusCode();
                stdout.println("status= " + statusCode);

                //获取响应头信息
                List<String> headers = analyzeResponse.getHeaders();
                for (String header : headers) {
                    stdout.println("header:" + header);
                }

                // 获取响应信息
                String resp = new String(iHttpRequestResponse.getResponse());
                int bodyOffset = analyzeResponse.getBodyOffset();
                String body = resp.substring(bodyOffset);
                stdout.println("response body=" + body);
            }
        }
    }

    // 用于注册插件状态监听，在卸载插件时会执行
    public void extensionUnloaded() {
        String fileName = "D:\\testData\\example.txt";
        String fileContent = "The Demo1 extension removed!";

        try {
            FileWriter fileWriter = new FileWriter(fileName);
            fileWriter.write(fileContent);
            fileWriter.close();
            System.out.println("Successfully wrote to the file.");
        } catch (IOException e) {
            System.out.println("An error occurred.");
            e.printStackTrace();
        }
    }
}

案例2 —— 高亮、新标签界面

高亮非常简单：

iHttpRequestResponse.setHighlight("red");
iHttpRequestResponse.setHighlight("yellow");
iHttpRequestResponse.setHighlight("blue");
// ...

新标签界面:

如果想要实现在请求和响应界面加一个新标签页来展示自定义信息，那么就需要了解IMessageEditorTab接口及setMessage方法，

Burp的IMessageEditorTab接口是用于扩展 Burp Suite 的请求/响应编辑器的一种方式，通过实现该接口可以向编辑器中添加自定义的标签页，实现自定义的请求/响应内容编辑功能。

IMessageEditorTab 接口中的setMessage方法用于设置当前编辑器中显示的请求/响应内容。该方法的签名如下：

void setMessage(byte[] message, boolean isRequest);

其中：

• message 参数表示要设置的请求/响应内容的字节数组;
• isRequest 参数表示设置的内容是请求还是响应，
  • 当 isRequest 参数为 true 时，表示设置的是请求内容；
  • 当 isRequest 参数为 false 时，表示设置的是响应内容。

在实现 IMessageEditorTab 接口时，通常会在自定义的标签页中添加一个编辑器组件（如 TextArea），并在 setMessage 方法中将请求/响应内容设置到该组件中，从而在标签页中显示请求/响应内容。同时，还可以在自定义的标签页中添加一些其他的组件，比如按钮、复选框等，实现一些自定义的功能，如发送请求、解析响应等。

总之，通过实现 IMessageEditorTab 接口，并在其中实现 setMessage 方法，可以为 Burp Suite 的请求/响应编辑器添加自定义的标签页及编辑功能，从而提高渗透测试的效率和精度。

插件的断点调试

1. 通过命令打开Burp Suite；

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar [You path]\burpsuite_community.jar

1. 在代码里面打上断点；

2. 配置一个Remote JVM Debug；
   
   

1. 加载上插件，开始调试。

UI界面

感觉UI这块内容不少，我后期单独写一篇新博客吧。可以点赞支持我加速。

Reference

• https://portswigger.net/burp/extender/api/allclasses-noframe.html
• https://www.cnblogs.com/piaomiaohongchen/p/16869829.html
• https://github.com/ScriptKid-Beta/Unexpected_information
• https://cloud.tencent.com/developer/article/2007405
• https://www.cnblogs.com/olivexiao/p/15194467.html
• https://cloud.tencent.com/developer/article/2007403
• https://gv7.me/articles/2017/classification-of-burp-apis/
• https://github.com/bit4woo/burp-api-drops