深入浅出之BugScan插件编写教程

安全脉搏之前发布过bugscan的介绍和邀请码 在线扫描器Bugscan震撼发布,安全脉搏持续发送邀请码,相信很多朋友都拿到了邀请码,没拿到的继续留言评论拿邀请码。

今天科普一下buscan插件的编写 从入门篇到深入篇 所谓深入浅出之BugScan插件编写教程

bug

入门篇


 

准备工作

下载python,并安装

https://www.python.org/downloads/

注意:需要下载2.7.*版本的python

下载sdk,并解压

https://www.bugscan.net/sdk.zip

bugscan1

Dummy文件夹为插件核心函数库

另外4个py是四个例子

学习cms_discuz.py例子

打开

bugscan2

bugscan3

F5运行之后,结果显示http://www.ytjt.com.cn/是存在问题

这个插件就相当于我们访问了

http://www.ytjt.com.cn/uc_server/control/admin/db.php

bugscan4

http://www.lockbay.cn/uc_server/control/admin/db.php

bugscan5

显然http://www.ytjt.com.cn爆出了物理路径,我们这个插件的功能就是检测discuz这个db.php文件是否暴露物理路径的漏洞。

相关链接:http://www.discuz.net/thread-3500027-1-1.html

 

FAQ

都有哪些service,对应的arg格式是什么?

bugscan6

目前支持的cms可以在https://www.bugscan.net/#!/n/7中查看

Cms的arg为其根目录url,如上文提到的http://www.ytjt.com.cn

 

为什么我提交的插件不符合SDK?

插件http请求必须使用curl库

不能使用第三方库

不符合插件格式,没有包含assign和audit两个函数

 

为什么必须使用curl库?

bugscan7

添加任务时的速度,超时时间等等需要统一的设置,如果你使用了urllib2等库,

这些参数将失去意义,节点将变得不可控制。另外还有另外一种过滤行插件,依赖于curl,后面会详细讲解。

 

为什么不能使用第三方库?

因为节点上不一定有,或者不能安装。甚至有些库兼容性很差。

去哪里找漏洞来编写插件?

http://www.exploit-db.com/

https://www.bugscan.net/#!/e/

http://www.beebeeto.com/

http://www.wooyun.org/

……

 

深入篇


 

注意

Bugscan平台是基于Python2.7.X开发,所以为了实现良好的兼容
编写插件的时候所使用的平台也应该为Python 2.7.X
Python 2.7.X 下载地址:
https://www.python.org/downloads/
这里对于Python如何使用不再赘述,请自己查找相关资料

 

不会Python怎么办

 

如果不会Python的话,可以去看看相关的资料/视频,这里给出一些资料
廖雪峰的Python教程:
http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000
简明 Python 教程:
http://www.kuqin.com/abyteofpython_cn/
中谷教育Python教学视频:
http://pan.baidu.com/s/1c02HoZm 密码: 03va
我自己学Python的笔记:
http://blog.l1n3.net/tag/python-2/

编写前的准备

首先去下载BugScan的SDK,放置到Python目录中的lib中,方便插件的调试
SDK链接地址:
https://www.bugscan.net/sdk.zip
默认安装路径: C:\Python27
建议SDK存放位置: C:\Python27\Lib\
仔细阅读过官方的SDK文档:
https://www.bugscan.net/#!/i/

 

前置技能(不绝对)

如果需要为BugScan编写插件,需要以下前置技能

      熟练运用Python中的数字,列表,字典等数据类型
熟练运用Python的函数
熟练运用Python的流程控制
熟练运用Python的正则表达式(re模块)

如果想学习BugScan插件,需要以下前置技能

       最少能够熟练的运用Python 类以下的所有函数/类型/方法
了解漏洞利用方法,最好也能了解漏洞成因
了解大多数网站的架构:Windows/Linux + IIS/Apache/Nginx + SQL Server/Mysql/Oracle + ASP/PHP/JSP/ASPX
了解大部分漏洞的原理,注入,XSS,CSRF,远程命令执行,上传截断,改包等

如果想自主的去发现漏洞

       了解HTTP协议通信过程,GET方式和POST方式提交,cookie的作用等
熟练运用BurpSuite,SQLMAP,Chrome开发者工具,FireBug等工具(Fuzz)
能看懂ASP/PHP等代码(开源程序审计)
和大牛不断交(Gao)流(Ji)

BugScan插件实现原理

一个标准的插件的代码如下

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Plugin Format
#_Function_ = 插件格式
#_FileName_ = Plugin_Format.py
######建议把之上的东西都带上,以便于辨认######


def assign(service, arg):
    if service == "service":  # 1. service字符串
        return True, arg 

def audit(arg):
    print "hello, world !"
    # 2.主体攻击代码部分

if __name__ == '__main__':
    from dummy import *
    audit(assign('service', 'http://www.example.com/')[1])
    # 3. service字符串
    # 4. http://www.example.com/ 字符串

 

需要修改的地方主要为代码中编号的4处,其中1处和3处的服务类型须保持一致

  1. 服务类型判断

    服务类型列表在https://www.bugscan.net/#!/n/7
    请严格按照列表中的服务名称来书写

  2. 主体攻击代码

    这里书写主要用于实现的攻击代码,如何实现请看下文

  3. 服务类型提交

    这里也是服务类型,由框架传参进入,与1.处保持一致即可

  4. 测试URL

    上传插件时,这里写成存在该漏洞测试网站,方便管理员审核
    但插件在提交展示的时候会自动替换为http://www.example.com/
    只有管理员可以看到漏洞测试网站

函数解说

if __name__ == '__main__' 主体函数

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Plugin Format
#_Function_ = 插件格式
#_FileName_ = Plugin_Format.py

if __name__ == '__main__':
    from dummy import *
    audit(assign('service', 'http://www.example.com/')[1])
    # 移交执行权至audit

 

当调用到一个插件的时候,主体函数()即得到执行,该函数执行过程为assign函数判断服务类型(即该插件是否可用于该网站),如果返回Ture的话,即调用assign来完成攻击/扫描的过程

assign函数

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Plugin Format
#_Function_ = 插件格式
#_FileName_ = Plugin_Format.py

def assign(service, arg):
    if service == "service":  
        return True, arg 
    # 服务类型判断

 

函数判断BugScan框架传入的服务类型
如果服务类型与插件中定义(即service字符串)的一致,则表明该插件可用于该网站,返回True和网站的URL(arg字符串)
然后执行接下来的漏洞测试代码

audit函数

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Plugin Format
#_Function_ = 插件格式
#_FileName_ = Plugin_Format.py

def audit(arg):
    print "helloworld"
    # 主体攻击代码部分

 

audit函数为主要实现攻击过程的函数,当扫描一个网站的时候大多数情况下需要调用curl.curl这个函数来完成扫描过程,随后会对curl进行单独解说
audit在执行的过程中会获取一个变量,变量名为arg,变量值为待扫描的URL,字符串类型

 

我们是如何访问网站的

众所周知,访问网站实际上也就是客户端HTTP请求和服务端HTTP返回的过程
请求一般最常用的是GETPOST方法,而有时候我们访问的网站是动态页面,这就需要客户端传入一些参数来实现同一个样式的网页返回不同的信息

GET提交
动态网页的URL一般为:http://www.xxoo.com/1.php?id=1 这里的id即为我们传入的参数
而在W3C的规定里,以URL方式传入的参数为GET方式的提交,所以我们常见的大部分在URL上的注入起始都是GET方式的提交
GET提交一般常见于网页访问等

POST提交
POST提交中,带入的参数一般来说客户端不可见(隐性提交),我们需要通过抓包软件(如Burp)来获取传入的参数名和参数值
一个POST提交的数据包可能像以下的样子:

POST /CheckLogin.asp HTTP/1.1
Host: www.xxoo.com
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36 LBBROWSER
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
If-None-Match: "4ded5b-199-4dc439c1e65c0"
If-Modified-Since: Thu, 09 May 2013 07:00:47 GMT

UserName=admin&PassWord=admin123

 

而这个底下的UserName和PassWord即为我们传入的参数值,POST提交一般常见于登陆,搜索,上传等

 

让插件像个访问者一样

 

在一些时候我们需要让插件像个正常访问者一样去请求网页
这就需要我们的插件具备HTTP通信的能力,而这里BugScan官方给出了curl类的curl函数,能够更加方便的取获取网页的信息
我们先看一下curl的帮助信息,中文版哦

curl是一个使用纯Python编写的工具,只支持HTTP协议
命令行格式:
curl [-I | -d DATA] [-A USER_AGENT] [-b COOKIE]
     [--connect-timeout CONNECT_TIMEOUT] [-e REFERER]
     [-H HEADER] [-i] [-m MAX_TIME]
     [--max-filesize MAX_FILESIZE] [--mime-type MIME_TYPE]
     [-L] [--max-redirs MAX_REDIRS] [-T] [--retry RETRY]
     [--retry-delay RETRY_DELAY] [-u USER] [-X REQUEST]
     <url>

--mime-type 参数表示指定一个MimeType,如果MimeType类型不对,curl将会抛出一个错误(找不到指定字符串类型)

curl函数执行以后会以元组形式返回5个值,我们可以使用5个变量去接收这5个返回值:
    code        :返回HTTP状态码
    head        :返回HTTP头
    body        :返回HTTP内容,即HTML
    errcode     :返回curl的状态码,代码随后解释
    final_url   :返回提交的URL

errcode状态码解释:
    0 : 返回正常
    1 : 不能连接目标URL
    2 : 连接超时
    3 : 返回异常
    4 : 发送异常
    5 : 发送数据包过大
    6 : 不能确定的主机
    7 : 不支持的协议
    8 : 参数错误
    9 : MimeType错误

一些举例:
    code, head, body, ecode, redirect_url = curl.curl('-L http://www.baidu.com')
    GET提交:
        curl.curl('http://www.abc.com/')
    带HEAD提交:
        curl.curl('-H http://www.abc.com/')
    POST提交:
        curl.curl('-d user=abc&pass=ddd http://www.abc.com/')
    PUT提交:
        curl.curl('T -d "Content to put" http://www.abc.com/')
    带Cookie提交:
        curl.curl('-b user=abc&pass=ddd http://www.abc.com/')
    带Referer提交:
        curl.curl('-e http://www.google.com/ http://www.abc.com/')
    重定向数据流:
        curl.curl('-L http://www.abc.com/')

curl会在获取网页内容的过程中自动去接收cookie,在进行第二次请求的时候将附加到HTTP头,如果想保持cookie为空,请使用curl.reset()

 

那么现在我们想让我们的插件去像个正常的访问者一样去访问百度,那么我们的代码可以这么写

#!/usr/bin/env python
code, head, body, errcode, final_url = curl.curl('http://www.baidu.com')

 

什么,你告诉我执行完了啥都没有? 当然啥都没有了,这个只是一个获取并赋值的过程,你见过你定义一个变量之后就返回变量值么? 如果我要显示内容,我们可以用print打印出来

#!/usr/bin/env python
code, head, body, errcode, final_url = curl.curl('http://www.baidu.com')
# 以下显示HTTP状态码
print '---------------code---------------'
print code
# 以下显示HTTP头
print '---------------code---------------'
print head
# 以下显示HTTP主体内容(HTML)
print '---------------code---------------'
print body
# 以下显示curl的状态码
print '-------------err code-------------'
print errcode
# 以下显示curl访问的URL
print '------------final_url-------------'
print final_url

 

这样我们就获取到了百度的主页内容,当然如果要像浏览器一样显示出来,我们还需要进行HTML解析和渲染,当然curl不具备此功能(一个命令行工具要求那么多作死啊)
那么接下来我们带着一些参数去访问

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Test Plugin
#_FileName_ = Test_Plugint.py

def assign(service, arg):
    if service == "www":  
        return True, arg 

def audit(arg):
    payload = 'readnews.asp?id=1 and 1=1' 
    # 注意这里的payload部分不需要在之前加入/,否则接下来的curl没办法正确识别url
    target = arg + payload
    code1, head, body1, errcode, final_url = curl.curl('"%s"', % arg)
    # 使用格式化输入,保证我们带入的字符串不被当做指令来执行
    code2, head, body2, errcode, final_url = curl.curl('"%s"', % target)
    #同上
    if code1 == 200 and code2 == 200 and body1 == body2 :
        # 判断加和不加payload的网页的HTTP状态码是否为200
        # 同时判断加和不加payload的网页的内容是否一样(and 1=1返回是否与原网页一样)
        print 'Find Vulnerability !' #打印信息

if __name__ == '__main__':
    from dummy import *
    audit(assign('www', 'http://www.test.com/')[1])

 

这样我们就完成了一个最基本的检测注入漏洞的插件,当然这个插件功能上有些弱
不过这个插件已经能说明一些问题了
木有错,给BugScan写插件就这么简单
这里我们的举例是GET方式的提交,那么POST方式的提交我们可以写成以下的样子
使用POST提交的时候curl的参数为-d

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Test Plugin
#_FileName_ = Test_Plugint.py

def assign(service, arg):
    if service == "www":  
        return True, arg 

def audit(arg):
    URL = 'check.asp' 
    POST_Data = 'username=admin&password=admin888'      #正常的POST数据
    payload = 'username=admin and 1=1&password=admin888'  #带有攻击语句的POST数据
    target = arg + payload

    code1, head, body1, errcode, final_url = curl.curl('"-d %s %s"' % (POST_Data, target))
    # 使用-d 参数带入POST数据
    # 使用格式化输入,保证我们带入的字符串不被当做指令来执行
    code2, head, body2, errcode, final_url = curl.curl('"-d %s %s"', % (payload, target))
    #同上
    if code1 == 200 and code2 == 200 and body1 == body2 :
        # 判断加和不加payload的网页的HTTP状态码是否为200
        # 同时判断加和不加payload的网页的内容是否一样(and 1=1返回是否与原网页一样)
        print 'Find Vulnerability !' #打印信息

if __name__ == '__main__':
    from dummy import *
    audit(assign('www', 'http://www.test.com/')[1])

 

我们也可以带着cookie提交
使用cookie提交的参数为-b

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Test Plugin
#_FileName_ = Test_Plugint.py

def assign(service, arg):
    if service == "www":  
        return True, arg 

def audit(arg):
    URL = 'main.asp' 
    cookie = 'sessionid=PHPSESSIONADMIN;username=admin;passcode=21232f297a57a5a743894a0e4a801fc3'      #cookie值
    target = arg + payload
    code, head, body, errcode, final_url = curl.curl('"-b %s %s"' % (POST_Data, target))
    # 使用-d 参数带入POST数据
    # 使用格式化输入,保证我们带入的字符串不被当做指令来执行
    #同上
    if code == 200 :
        print 'Find Vulnerability !' #打印信息

if __name__ == '__main__':
    from dummy import *
    audit(assign('www', 'http://www.test.com/')[1])

 

我们也可以同时带着多个参数去请求

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Test Plugin
#_FileName_ = Test_Plugint.py

def assign(service, arg):
    if service == "www":  
        return True, arg 

def audit(arg):
    URL = 'main.asp' 
    cookie = 'sessionid=PHPSESSIONADMIN;username=admin;passcode=21232f297a57a5a743894a0e4a801fc3'      #cookie值
    POST = 'SQL=select username,password from admin'
    target = arg + payload
    code, head, body, errcode, final_url = curl.curl('"-b %s -d %s %s"' % (cookie, POST, target))
    # 使用-b 参数带入cookie数据
    # 使用-d 参数带入POST数据
    # 使用格式化输入,保证我们带入的字符串不被当做指令来执行
    #同上
    if code == 200 :
        print 'Find Vulnerability !' #打印信息

if __name__ == '__main__':
    from dummy import *
    audit(assign('www', 'http://www.test.com/')[1])

 

OK就是这么简单
在BugScan框架中,print是不会有任何效果的,因为print是打印到控制台了,而我们在扫描的时候并不能去登录到控制台上查看输出信息,所以我们这里就要使用报警函数
报警函数操作指南

通知函数类型:
    通知消息(仅是信息,用绿色表示)      : security_note(str)
    敏感信息(看做低危,用蓝色表示)      : security_info(str)
    需要注意(看做中危,用橙色表示)      : security_warning(str)
    特别注意(看做高危,用红色表示)      : security_hole(str)

 

当我们需要让插件进行报警的时候,选用相应的通知函数即可实现在BugScan的Web端的通知 例如:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__Author__ = LinE
#_PlugName_ = Test Plugin
#_FileName_ = Test_Plugint.py

def assign(service, arg):
    if service == "www":  
        return True, arg 

def audit(arg):
    payload = 'readnews.asp?id=1 and 1=1' 
    # 注意这里的payload部分不需要在之前加入/,否则接下来的curl没办法正确识别url
    target = arg + payload
    code1, head, body1, errcode, final_url = curl.curl('"%s"', % arg)
    # 使用格式化输入,保证我们带入的字符串不被当做指令来执行
    code2, head, body2, errcode, final_url = curl.curl('"%s"', % target)
    #同上
    if code1 == 200 and code2 == 200 and body1 == body2 :
        # 判断加和不加payload的网页的HTTP状态码是否为200
        # 同时判断加和不加payload的网页的内容是否一样(and 1=1返回是否与原网页一样)
        security_hole(final_url) # 因为注入算是比较危险的漏洞,所以我们这里报警高危

if __name__ == '__main__':
    from dummy import *
    audit(assign('www', 'http://www.test.com/')[1])

 

一般来说,我们对一些信息的获取划分了等级
低危:绝对路径获取,反射型XSS等
中危:备份下载,存储型XSS等
高危:远程命令执行,SQL注入,任意文件下载,拒绝服务等

现在回过头来看看官方SDK给出的DZ检测插件

#!/usr/bin/env python
import re   # 引入re模块,来实现正则表达式相关操作
def assign(service, arg):
    if service == "discuz":
        return True, arg

def audit(arg):
    code, head, res, errcode, _ = curl.curl(arg + 'uc_server/control/admin/db.php')  # 发出HTTP请求
    if code == 200: # 判断返回状态码,以保证有信息返回
        m = re.search('not found in ([^<]+) on line (\d+)', res) # 使用正则表达式来匹配返回HTML中的相关字符串
        if m: # 如果正则匹配到了
            security_info(m.group(1)) #报警

if __name__ == '__main__':
    from dummy import *
    audit(assign('discuz', 'http://www.test.com/')[1])

 

BugScan插件编写教程基本到这里就算是完了 小菜(LinE)我也是刚刚学会的初学者,如文中有什么不对的地方欢迎指正

【安全脉搏:分享技术、悦享品质。文章仅代表作者看法,如有不同观点,欢迎添加安全脉搏微信号:SecPulse,进行交流。】

22条评论

评论加载中,请稍等...
  • SP主编
    SP主编  回复

    友情帮顶~~需要邀请码的童鞋注意啦 继续优质评论~

    • wangyulufly  回复

      @SP主编 学习了,多谢分享0.0 求邀请码

  • 腹黑  回复

    学习了,多谢分享0.0 求邀请码

  • PulseO0O
    PulseO0O  回复

    这个不错,支持,等有空了尝试一下。

  • iant  回复

    这个不错,能给我个邀请码吗?

  • xyborzxy  回复

    还送邀请码么 – – ?

  • Mayter  回复

    还送邀请码吗?管理求一枚邀请码啊。

  • roadman  回复

    学习了,方便快捷,现在还有邀请码飞出来吗

  • 一直自称老牛  回复

    普遍反映很赞啊,求邀请码,多谢多谢。

  • testaqi  回复

    管理员能发个邀请码吗?必定会努力学习如何写插件!

  • yuxuan  回复

    很赞~是否可以给邀请码一枚。

  • zhaoyun369  回复

    BugScan很赞啊,业界第一款这么全面的综合型安全漏洞扫描工具,最大的特点还是针对社区论坛CMS系统的扫描了,海量的插件漏洞库,扫描结果的准确率相比其他扫描工具也是较高。相见恨晚啊!不知管理是否还可以赏赐一枚邀请码~衷心感谢!

  • zhaoyun369  回复

    BugScan上面的插件确实很全面,而且也统一了每个人的插件编写流程,代码看起来真的比较清晰!看了几篇大牛写的BugScan的插件编写教程,介绍的很详细,希望也能早日写出属于自己的BugScan插件~

  • 0x5010
    0x5010  回复

    比较看好BugScan,听好多圈里的朋友谈到过。希望自己也能试试

  • End  回复

    用朋友的账号看了半天,功能强大~
    相见恨晚啊!不知管理是否还可以赏赐一枚邀请码~衷心感谢!(话说以前没这么麻烦啊。。。)

  • open  回复

    比较看好BugScan,听好多圈里的朋友谈到过。希望自己也能试试,说好的邀请码呢?

  • dadaguai  回复

    小编写这么长的文章真是用心良苦,我有懂一点点python但是总是觉得想真正深入学进去太~难~了~,因为本身专业不对口自己一直就是自学的,几次想去bugscan写插件总感觉老虎吃天无从下口,希望小编好心赐我一枚邀请码,在此多谢

  • update  回复

    好久之前就听说过bugscan,但插件屡次不i通过,在此真心求枚邀请码

  • youfuzhifu  回复

    渴求邀请码,管理大神能赏赐一枚吗。。。。

  • Yeats  回复

    我想要邀请码,谢谢小编同学啦

    • adminjean  回复

      @Yeats 你邀请码拿到了吗

  • adminjean  回复

    一直想写个插件拿邀请码 可是不知道怎么写 小编 求个邀请码 好人一生平安 谢谢 感激不尽

  • adminssss  回复

    刚好最近要写一个通用漏洞扫描的项目,获益匪浅,顺便求个邀请码,谢谢

    • secpulse
      secpulse  回复

      @adminssss 漏洞扫描很早就很公开化啦,能获益 我们很开心。脉搏已经不提供邀请码放送啦。

昵称*

邮箱*

网址

友情链接

合作伙伴