Burp Intruderのペイロードタイプ

ベースリクエストに挿入するペイロードの種類を設定できます。Burp Intruderには、さまざまな種類のペイロードを自動生成するオプションがあります。あるいは、単純な単語リストも使用できます。

Intruder > ペイロードタブのペイロードセット欄で、ペイロードタイプを選択できます。

ペイロードタイプオプション

各ペイロードタイプは、ペイロードオプション欄でカスタマイズできます。多くのタイプに、次のような基本設定オプションがあります:

• 貼り付け - クリップボードからリストを挿入します。
• 読み込み ... - ファイルからリストを読み込みます。
• 削除 - ハイライトされたアイテムを削除します。
• クリア - リスト内のすべてのアイテムを削除します。
• 重複排除 - 重複するエントリをリストから削除します。これにより、送信されるリクエスト数が減り、攻撃の効率が向上します。
• 追加 - 新規アイテムを入力します。
• リストから追加 ... - 定義済みペイロードリストを追加します。

タイプ固有のペイロードオプションは、ペイロードタイプの説明で詳しく説明します。

単純リスト

ペイロードに使用する文字列の単純なリストを設定できます。

実行時ファイル

実行時にペイロード文字列を読み込むファイルを設定できます。

とても大きなペイロードリストが必要な場合、このペイロードタイプを使用すると、リスト全体をメモリに保持しなくなくなります。ファイルの各行を1つのペイロードとして読み込むので、ペイロードには改行文字を含められません。

カスタムイテレータ

指定したテンプレートにしたがって、文字やその他のアイテムを組み合わせてペイロードを生成できます。

テンプレートには最大8個のポジションを定義でき、各ポジションにアイテムリストを設定できます。任意のポジションの間にセパレータを使用できます。例えば、AA/11というテンプレートに対して、最初の2つのポジションがAからZまで、次の2つのポジションが0から9までを繰り返すような攻撃を設定できます。これは例えば、給与計算アプリケーションがAA/11形式の番号を使用して個人を識別する場合に有用です。

さまざまな方法でリストアイテムを編集できます:

• カスタムイテレータのすべてのポジションから設定を削除するには、すべてクリアをクリックします。

• カスタムイテレータであらかじめ設定されているものを選択するには、定義済み形式を選択ドロップダウンメニューをクリックし、形式を選択します。その後、形式は変更できます。次から選択できます:

  • ディレクトリ/ファイル.拡張子 - URLを生成します。
  • 2桁16進数 - 16進数の数字を生成します。
  • パスワード+数値 - パスワード推測攻撃のための、拡張ワードリストを生成します。

文字置換

文字列リストの各アイテムに対して、文字置換を適用できます。

パスワード推測攻撃で、辞書に載っている一般的な単語を変形させるために、文字置換を使用できます。

攻撃ではリストの各アイテムに対して、すべての文字置換ルールを順番に使用します。例えば、e > 3 と t > 7 とする置換ルールでは、"peter"は次のようなペイロードを生成します:

大文字小文字変換

文字列リストの各アイテムに対して、大文字小文字を変更できます。

パスワード推測攻撃で、辞書に載っている一般的な単語の大文字小文字違いを生成するために使えます。

攻撃では、各アイテム内の文字を順番に変更します。重複するペイロードは破棄されます。大文字小文字変換のオプションが選択できます:

• 変更なし - 変更しません。
• 小文字に変換 - すべての文字を小文字に変換します。
• 大文字に変換 - すべての文字を大文字に変換します。
• 先頭のみ大文字でその他は小文字 - 先頭文字を大文字に変換し、以降の文字は小文字に変換します。
• 先頭のみ大文字でその他は変更なし - 先頭文字を大文字に変換し、以降の文字は変更しません。

たとえば、すべての変更オプションが選択されている場合、"Peter Wiener"は次のペイロードを生成します:

再帰検索

前のリクエストに対するレスポンスからテキストを抽出し、それを次のペイロードとして使用します。

有用なデータの抽出やエクスプロイトの引き渡しを再帰的に行う必要がある場合に使用できます。たとえば、SQLインジェクションでデータベースからの情報を窃取するには、次のような形式のクエリを再帰的に挿入します:

サーバのエラーメッセージから、最初のデータベースオブジェクトの名前が漏洩しています:

このクエリーに次は"accounts"を使い、次のオブジェクトを見つけます。再帰的にペイロードをgrepしてデータベースの全オブジェクトを一覧化する作業を、簡単に自動化できます。

次のオプションを設定する必要があります:

• 最初のリクエストの初期ペイロード - 初期ペイロードを入力します。これは、最初のリクエストとレスポンスの生成に使用されます。
• 抽出grepアイテム - 抽出grepするアイテムを選択します。前回のレスポンスの中から興味深い部分を抽出するために使用し、それからさらにペイロードを生成します。抽出grepアイテムの定義方法は、Burp Intruderオプションを参照してください。
• 重複ペイロード検出時に停止 - 連続して同じペイロードになった場合、攻撃を停止します。これは通常、動作が完了したことを示します。

不正なUnicode

アイテムのリストに対して、指定した文字を不正なUnicodeエンコーディングの別の文字に置き換えて、ペイロードを生成します。

このペイロードタイプは、特定の文字列をブロックするように設計されたフィルタを回避しようとする場合に使用できます。たとえばファイルパストラバーサル攻撃の防御で ../ と ..\ へのマッチを想定している場合などです。

使用可能なオプションは次の通りです:

冗長なUTF-8エンコード

冗長なエンコーディングを使用するかどうか、および6バイトまでの最大長を設定できます。

これにより、基本的なASCII文字(0x00～0x7F)をUnicode形式で表現できます。これらの文字は本来通常は1バイトで表現されます。

不正なUTF-8継続バイト

• 不正なUTF-8継続バイト - 冗長UTF-8の最大長が2バイト以上に設定されている場合、各継続バイトに対して順番に3つのエンコーディングを生成します。

  • 各継続バイトは、バイナリ形式で00xxxxxx、01xxxxxx、11xxxxxxの3つの不正な変形ができます。文字が2バイト以上でエンコードされている場合、2バイト目以降は継続バイトであることを示すために、バイナリ形式で10xxxxxxである必要があります。ただし、1バイト目の最上位ビットを見れば継続バイト数が特定できるため、Unicodeデコードルーチンが継続バイトの最初の2ビットを無視する場合があります。
• マルチバイト文字の組み合わせ最大化 - 不正なUTF-8を選択し、冗長なUTF-8の最大長で3バイト以上を選択した場合、複数の継続バイトを同時に変更できます。これは、不正な継続バイトのすべてのパターンを生成します。これでより多くの異なる不正なエンコーディングを生成し、高度なパターンマッチング制御の回避を試行できます。

不正な16進数文字

生成されたバイトシーケンスを16進数表記で表現する方法を制御します:

• 不正な16進数表記 - 冗長なエンコードと不正な継続バイト(選択している場合)を使用し、不正にエンコードされたアイテムのリストを生成する場合、結果のバイト列の16進数エンコードを変更してパターンマッチ制御を混乱させられます。16進数エンコードでは、10進数の10-15を表現するのに、「A」～「F」の文字を使います。しかし一部の16進数デコーダーは、「G」を10進数の16、「H」を10進数の17と解釈します。よって、0x1Gは10進数の32と解釈されるかもしれません。そして、2桁の16進数コードの先頭にこの不正な16進数文字が使われると、デコードした結果1バイトの最大値をオーバフローしますが、この状況で一部の16進数デコーダは結果の最下位8ビットのみを使用します。よって、0xG1は10進数で257にデコードされ、10進数の1と解釈されます。上記のようにデコードされた場合に同じ16進数コードとして解釈される不正な16進数表現が、2桁の正常な16進数コードそれぞれに対して、4～6個あります。不正な16進数表記オプションが選択された場合、不正なエンコードをされたアイテムのリストそれぞれについて、あり得るすべての不正な16進数表記を生成します。
• マルチバイト文字の組み合わせ最大化 - 不正なUTF-8を選択し、冗長なUTF-8の最大長で3バイト以上を選択した場合、複数のバイトを同時に変更できます。これは、すべてのバイトについて、不正な16進数のすべてのパターンを生成します。これでより多くの異なる不正なエンコーディングを生成し、高度なパターンマッチング制御の回避を試行できます。

16進数フォーマット

16進数でエンコードされたペイロードの見た目を制御します:

• 英小文字使用 - 16進数コードに小文字アルファベットか大文字アルファベットのどちらを使用するか指定します。
• 各バイトの前に%を追加 - 各2桁の16進数コードの前に%文字を挿入し、URLエンコードしたペイロードを効果的に生成します。

総エンコード数

これのオプションにより次が可能です:

• 設定値に基づいたエンコードの推定数を表示できます。
• 生成される不正なエンコーディング数の上限を指定できます。

大量の冗長エンコーディングや組み合わせの最大化が選択された場合、これらのオプションは膨大な数の不正なエンコーディングを生成する可能性があります。

リストアイテムの検索と置換

リストアイテムの文字置換を制御します:

• 検索文字 - 各リストアイテムで変更される文字を指定します。リストアイテムで * のようなダミー文字を使い、置換を行う個所を示します。
• エンコードして置換する文字 - 各リストアイテム内で一致した元の文字を置換する、不正なエンコーディングを生成する文字を指定します。このオプションはASCII文字自身か、文字の16進数コード2桁を指定します。nullなどの印字不可なASCII文字を指定する場合に便利です。

文字ブロック

指定された文字や文字列のブロックに基づいたペイロードを生成します。

このペイロードタイプは、次のように使用できます:

• ネイティブ(アンマネージド)コンテキストで実行されるソフトウェアの、バッファオーバフローや境界条件の脆弱性を検知する。
• 特定の長さの入力が入力フィルタをバイパスしたり、予期せぬコードパスのきっかけになるなど、ロジックフローを攻撃する。

次のオプションがあります:

• 元文字列 - 文字ブロックを生成する元になる入力文字列です。
• 最短 - 最小のブロックは、元文字列がこの回数分繰り返されます。
• 最長 - 最大のブロックは、元文字列がこの回数分繰り返されます。
• 増分 - 文字ブロックごとの長さの増分です。

数値

指定した範囲内の数値ペイロードを、指定した形式で生成できます。

数値範囲

数値範囲について、さまざまな設定が可能です:

• タイプ - 連番で生成するか、またはランダムに生成するか指定します。
• From- 連番で生成される最初の数値を指定します。あるいは、ランダムに生成される可能性のある最小の数字です。
• To - 連番で生成される最後の数値、または増分が指定されている場合はこの数値未満の最大値が最後です。あるいは、ランダムに生成される可能性のある最大の数字です。
• 増分 - 連番の数値間の増分を指定します。負の値を指定すると、生成される数値は減っていきます。
• 個数 - ランダムに生成されるペイロード数です。重複するペイロードが生成されることに注意してください。

数値フォーマット

数値フォーマットについても、さまざまな設定が可能です:

• ベース - 数値を10進数と16進数のどちらの形式で生成するか指定します。
• 整数部最小桁数 - 各数値の整数部の最小桁数を設定します。小さな数値は左側にゼロで桁をパディングします。
• 整数部最大桁数 - 各数値の整数部の最大桁数を設定します。より大きな桁数の数値は切り詰められ、最上位の桁から失われます。
• 小数部最小桁数 - 各数値の小数部(小数点の後ろ) の最小桁数を設定します。小数部の桁数が少ない数値は右側にゼロでパディングします。10進数を生成するときのみ有効です。
• 小数部最大桁数 - 各数値の小数部(小数点の後ろ) の最大桁数を設定します。より多くの小数部がある数値は切り詰められ、最小の桁から失われます。10進数を生成するときのみ有効です。

最小または最大サイズを強制しない場合は、すべての桁オプションを空白にします。

数値フォーマットを編集すると、最小桁数、最大桁数の数値例が表示されます。

日付

指定した範囲内の日付ペイロードを、指定した形式で生成できます。

このペイロードタイプは、次のように使用できます:

• データマイニング、たとえば日ごとに格納された注文を漁る場合。
• ブルートフォース、たとえばユーザの機微情報である誕生日を推測する場合。

次のオプションがあります:

• From - 生成する最初の(最も早い)日付を指定します。
• To - 生成する最後の(最も遅い)日付(または、増分が指定されている場合はこれを越える直前の日付が最後です)を指定します。
• 増分 - 連続する日付間の増分を、日、週、月単位で設定します。正の値でなければなりません。
• 形式 - 日付の表示形式を設定します。定義済みの日付形式から選択するか、カスタム書式も入力できます。日付形式をカスタマイズするための構文例は次の通りです。

ブルートフォース

指定した文字セットのすべての組み合わせで、指定した長さのペイロードを生成します。

次のオプションがあります:

• 文字セット - ペイロードで使用される文字のセットを指定します。このセットのサイズによって、生成されるペイロードの合計数が指数関数的に増加する点に注意してください。
• 最短 - 最短のペイロード長を設定します。
• 最長 - 最長のペイロード長を設定します。

ペイロードなし

ペイロード値が空の文字列を生成できます。これを使うと、ペイロードポジションを設定せずに、繰り返しベースリクエストを発行できます。

このペイロードタイプは、さまざまな攻撃に使用できます。例えば:

• シーケンス分析のためにcookieを収集する。
• サーバ上で高負荷なタスクを繰り返しリクエストするアプリケーション層へのサービス妨害攻撃をする。
• 他の断続的なテストで使用されているセッショントークンを維持する。

ペイロードを生成する数を指定するか、無限に継続するか設定できます。

文字フロバー

入力の各文字位置の値をできます。ペイロードポジションで指定された既存の文字列を入力のベースにするか、指定した文字列でも可能です。この攻撃は、各アイテムを順番に、1文字ずつ、その文字のASCIIコードを1つ増やしていきます。

このペイロードタイプを使用して、どのパラメータ値、また値のどの部分が、アプリケーションの応答に影響があるのかをテストできます。たとえば、セッショントークンのどの部分がセッション状態を追跡しているかテストする場合に便利です。もしセッショントークン内の一部の文字を変更してもまだセッションが維持されているようであれば、その文字はセッションの追跡に使用されていない可能性があります。

ビットフリッパー

入力の各ビット位置の値を変更できます。ペイロードポジションで指定された既存の文字列を入力のベースにするか、指定した文字列でも可能です。1回あたり1文字を対象として、指定された各ビットを順番に反転します。

次のオプションがあります:

• 処理対象 - 元値に、ペイロードポジションの値か、あるいは他の文字列を使用するか指定します。
• 元値のフォーマット - 元データを、リテラル値として扱うか、ASCII16進数として扱う(後述)か指定します。
• 反転するビットを選択 - 最下位ビット(0000000X)から最上位ビット(X0000000)まで、各バイトのどのビットを反転するか指定します。

たとえば、元の値が"ab"の場合、リテラル文字列として動作してすべてのビットを反転すると次のペイロードになります:

一方、ASCII16進数文字列として"ab"を扱い、すべてのビットを反転すると次のペイロードになります:

文字フロバーと似たような状況でよりきめ細かく制御する必要がある場合に、ビットフリッパーが使用できます。たとえば、意味にあるデータがCBCモードのブロック暗号で暗号化されてセッショントークンや他のパラメータ値に含まれる場合、暗号ブロック内の直前のビットを変更すると、復元されるデータの一部を体系的に変更できる可能性があります。暗号化された値の中の、個々のビットを変更した場合の影響を確認できます。

ユーザ名ジェネレータ

名前またはメールアドレスのリストから、さまざまな一般的な生成規則を使用して、ユーザ名の候補を生成します。

特定の個人ユーザを狙っていて、しかしアプリケーション内で使用されているユーザ名やメールアドレスの生成規則がわからない場合に、このペイロードタイプが便利です。

たとえば、"peter wiener"という名前を指定すると、最大115通りの結果になります:

リストの1アイテムごとに生成するペイロードの最大数を設定できます。

ECBブロックシャッフル

ECBで暗号化されたデータの暗号文ブロックを並び替えます。その結果、復号した際に意味のある平文になり、アプリケーションロジックが不安定になる可能性があります。

ECB暗号は、他のブロックとは関係なく平文のブロックを暗号化するため、(同じ鍵を使っていれば)同じ平文が暗号化されると同じ暗号文になり、またその逆も起こります。したがって、暗号文の大部分のブロックを並べ替えると、復号された平文のブロックも並び替えられる可能性があります。一部のデータ(ユーザ名、ユーザID、ロール、タイムスタンプのフィールドを持つ構造化されたセッショントークンなど)では、解読された際に意味のあるデータ内容になるよう変更し、アプリケーション処理を不安定にしたり、許可されていない処理を実行できる可能性があります。

次のオプションがあります:

• シャッフルする暗号データ - ペイロードポジションの値か、その他の文字列をベースに操作するか指定します。
• 元値のフォーマット - 元データを、リテラル値として扱うか、ASCII16進数として扱うか指定します。(詳細はビットフリッパーペイロードタイプを参照してください)。
• ブロックサイズ - 暗号化されたブロックのバイト単位のサイズを指定します。ほとんどのケースでブロックサイズは、8 または 16 バイトです。確証がない場合は、使用される可能性があるブロックサイズをそれぞれ使用して、複数回攻撃を実行してください。
• 追加暗号文字列 - 必要に応じて、同じ暗号と鍵が使われている暗号文字列のリストを設定し、暗号化データの並べ替えに使用する追加ブロックを指定します。このタイプの攻撃を成功させるには、構造上適切なポイントに当てはまる平文のブロックを探し出す必要があるため、かなりの幸運が必要です。同じアプリケーションが暗号化した文字列を大量に収集すると、成功率が上がります。たとえば、このペイロードタイプを使用してセッショントークンを攻撃する場合は、アプリケーションから他のセッショントークンを大量に収集し、暗号文の追加ブロックに指定すると有効でしょう。

拡張による生成

Burp拡張を呼び出してペイロードを生成します。

ジェネレータ選択...をクリックし、ペイロードジェネレータの拡張をリストから選択します。拡張は、Intruderペイロードジェネレータとして登録する必要があります。

他ペイロードコピー

現在のペイロードの値を別のペイロードポジションにコピーできます。

このペイロード タイプは、さまざまな状況で便利です、例:

• 対象の処理に適合するには2つの異なるパラメータで同じ値を使わなければならない場合(たとえば、新しいパスワードとその確認)で、他のパラメータの操作にクラスター爆弾攻撃を使いたい場合。
• リクエスト内のあるパラメータが他のパラメータ値のチェックサムを持っていて、ユーザの入力に基づいてクライアント側のスクリプトが計算している場合。