Burp与Xray联动——多层代理流量测试

在平常的测试过程中，面对一个站点庞大的业务接口时，难免会忽略其中某些存在问题的接口，使用Burp与Xray联动可以将被动扫描和手工测试结合，达到一个很好的缺漏补差的效果，当然工具是为手工测试服务的，还是需要将侧重点放置到人工判断的角度，说白了与Xray联动就相当于找了个兜底的。这里使用 Burp 的原生功能与 xray 建立起一个多层代理，让流量从 Burp 转发到 xray 中。

（以下的测试环境都在本地windows10下进行）

首先 xray 建立起 webscan 的监听：

接着在Burp的Options->Upstream Proxy Servers中添加上游代理：

浏览器代理为设置Burp的监听代理端口，非上游代理（略）

可以看到经过Burp的流量也转发给了Xray。

下面是今天下午替甲方测试的结果：

某接口的post包内容如下：

正常的请求和响应：

过程略，构造payload：（这里是报错注）

返回结果如下：

然后这时候再回头看看我们的xray工作的怎么样了：

存在一部分误报的情况，不过总体来说很满意了，里面也有刚才我们手工测试出来的那个注入的接口。

意外收获几个xss也是蛮香的：

被动扫描和主动测试的结合（同时）的确可以给我们带来不错的结果，但是我们的重心主要还是需要放在对业务接口的熟悉和测试的深度上，而不是侧重于工具给我们反馈的结果，对工具扫描的结果也需要进一步人工的确认，还有一个待解决的问题是，目前没办法控制xray的fuzz强度，导致我们手工测试的过程会出现被防火墙检测到异常流量并且直接将我们的ip给ban了，其实是有点冤的哈哈，想到的解决方法是根据后台云服务器信息给xray挂上相应的代理，但这并不适用于所有的站点。

第一步：选择一个jpg后缀的马。

第二步：设置本地代理，burp的本地端口是8080

第三步：打开burp suite 按图 *** 作就ok了。

第四步：点击上传，同时上传的表单就会发送到burp上。点击action 选择send to repeater，之后repeater就会变红。

第五步：修改表单，注意图片中yueyan.asa 后面是有空格的。

第六步悬着hex。hex记录差不多是以十六进制编码数字组成。

第七步：将空格的十六进制20改为00 www.2cto.com

第八步查看shell路径。

首先纠正一下 ，题主提问的 burpsuite 少了个e。

127.0.0.1设置的是需要抓包的地址，比如浏览器设置了代理端口8080,burpsuite去监听的话一般只能设置为2种形式：（1）127.0.0.1:8080 （2）内网ip:8080（如：192.168.1.124:8080） 题主提问的127.0.0.1和本地ip使用哪一个，其实都是可以的，没有区别。

隐藏IP，一般就是挂一个上层代理，在User options选项里许设置SOCKS Proxy即可，当然自己需要搭建一个SOCK服务

---