使用BurpSuite的Collaborator查找.Onion隐藏服务的真实IP地址

在这个感恩节，我想要写一些关于我们所有人都喜欢的东西：馅儿。我不是在谈论今天下午你将要买到的美味面包，我正在谈论的是将有效载荷填充到网站中寻找漏洞的事情。

我们一直在网站上放一些东西。我们调用'stuff 1-1; -并希望测试SQL注入，我们使用; cat / etc / passwd希望进行命令注入测试，我们填充alert(“BEEP !!!”)希望测试跨站点脚本漏洞，并且我们填入我们的信用卡号码，希望这是来自1967年Star Trek剧集的真实Tribble 。

有时我们会收到关于我们有效载荷的即时反馈，并且可以在几秒钟内确认漏洞 如果我输入'or 1 = 1; -并绕过登录页面，那么我久不需要在那里继续执行SQL注入漏洞了。问题出现在你将有效载荷注入延迟响应的地方。如果我现在在网站上点击的有效载荷在星期一早上管理员正在查看日志时没有执行，那该怎么办？如果我们希望能够检测有效载荷的工作，我们需要建立持久的基础设施，以便每天24小时监听。

Burp Suite 在2015年推出“Burp Collaborator”时让很多事情变得更加轻松。Collaborator与Burp Suite Professional一起提供，无需支付额外的费用，该服务器设置为每年365天，每天24小时均可为你执行有效载荷。

在上面的屏幕截图中，我可以点击“复制到剪贴板”并生成一个唯一的URL，我可以在需要有效载荷的任何地方使用它。

如果有任何人看到这个URL并访问它，我会在Burp Suite collaborator客户端收到一条通知。

这个功能让我非常惊讶，同时也是令人难以置信的强大。无论我们处理多长时间的延迟，我们现在都有基础设施来生成有效载荷并监听它们。正如本周早些时候Burp Suite官方的推文所说的那样，如果你没有进行执行带外应用安全测试（OAST），那么你错了。

好的，现在我们都对此感到非常兴奋，并且看到使用它做一些事情有多容易，你认为我们应该在哪里填充新的有效载荷呢？如果你兴奋地说“无处不在!!!!”，我喜欢你的风格并且同意你的意见！幸运的是，一位名叫詹姆斯凯特尔的杰出人物也同意了你的看法，并在今年早些时候写了一个叫做“合作者无处不在”的Burp Suite Professional插件。作者写了一篇名为“破解棱镜：针对HTTP的隐藏攻击面”的精彩博文，他将带你进入他的插件。我的朋友kat在Blackhat期间给我发了一个链接，我坐在拉斯维加斯的一家户外酒吧里，从头到尾我都在手机上阅读。我是一个书呆子，不过这很好。

Collaborator Everywhere希望通过将Collaborator的这些有效载荷自动注入我们通过Burp套件完成的网络流量来帮助我们识别后端系统和流程。它实际上做了什么？看看我刚刚访问我的博客时自动插入的一些标题。

通过我访问一个特定的网站，我从我的一次有效载荷注入中获得了DNS查询：

詹姆斯做了一个Blackhat的谈话，你可以在这里看到他谈论他使用这些技术所做的所有牛逼的事情。在观看演讲时，我认为这种技术可能被用来识别TOR .onion隐藏服务的真实IP地址。

我启动了我的TOR浏览器软件包并配置了Burp Suite来通过TOR网络。然后，我浏览了多个.onion隐藏服务，看看他们中的任何一个是否会给我一个Collaborator pingback。最后，在我访问的第二十个网站上，它工起作用了。

我现在拥有与.onion隐藏服务关联的服务器的真实IP地址，因为它查找了它所提供的HTTP头。

我鼓励你在你拥有或拥有合法测试权限的网站上使用这些技术。它们易于使用，有趣并且非常有效。

11/24/2017更新：

我发布的这条推文颇受欢迎，并引发了包括@ cchuatl，@ albinowax和@ einaros在内的几个人之间的良好讨论。该话题的关键点之一是该pingback来自DNS解析器，它可能位于与主机服务器非常接近的位置，但不一定如此。这个想法是在我的脑海中，这就是为什么我使用“关联”而不是“托管”这个词语，但“关联”这个词绝对保证意思更清晰。

这样的反馈是使信息社区成为令人惊叹的地方的一部分。我的目标是从不公开任何人的.onion服务，这就是为什么我清理了所有截图的原因，但在这种情况下，根据网站内容，解析器IP地址与我期望的托管位置一致，我相信它非常接近主机服务器。