Burp Repeater实战：手把手教你用重放请求挖出第一个Struts信息泄露漏洞

Burp Repeater实战：从零挖掘Struts信息泄露漏洞的完整指南

当你第一次打开Burp Suite时，面对密密麻麻的功能按钮和复杂的界面，很容易陷入"从哪开始"的迷茫。作为安全测试领域的瑞士军刀，Burp Suite的强大功能往往让新手望而生畏。但今天，我们将用最直接的方式——通过Burp Repeater重放请求，带你完成第一个真实漏洞的挖掘，体验安全研究的即时成就感。

1. 环境准备与靶场搭建

在开始实战前，我们需要确保Burp Suite已正确配置并与浏览器联动。以下是具体步骤：

1. 安装与配置：

   • 下载最新版Burp Suite Community Edition（免费版本完全够用）
   • 启动后，在Proxy→Options中确认监听端口（默认8080）
   • 在浏览器中设置代理为127.0.0.1:8080，并安装Burp的CA证书

2. 靶场选择： 我们使用特别设计的漏洞练习平台DVWS（Damn Vulnerable Web Services），它模拟了真实场景中的Struts框架漏洞：

   git clone https://github.com/interference-security/DVWS.git cd DVWS docker-compose up -d

   访问http://localhost:8080即可看到模拟的电商网站。

注意：实际测试中请务必只在授权靶场或自己搭建的环境操作，未经授权的测试可能涉及法律风险。

2. 捕获并分析初始请求

现在让我们开始真正的"狩猎"：

1. 在浏览器中访问产品页面（如/product?productId=1）
2. 切换到Burp的Proxy→HTTP history，找到对应的GET请求
3. 右键选择"Send to Repeater"（或使用Ctrl+R快捷键）

此时Repeater界面应显示如下关键信息：

点击"Send"按钮，观察正常响应应包含产品详情HTML，状态码为200。

3. 参数变异与异常触发

真正的漏洞挖掘从这里开始。我们通过系统性的参数变异来探测潜在漏洞：

1. 数值边界测试：

   • 修改productId为极大值（如999999）
   • 修改为负值（如-1）
   • 尝试浮点数（如1.5）

2. 类型混淆测试：

   GET /product?productId=' OR 1=1--

   这种SQL注入尝试可能触发不同的错误响应。

3. 特殊字符测试：

   • 分号、引号等特殊符号
   • 超长字符串（如1000个字符）
   • 空白参数（productId=）

当我们将productId改为非数字字符串时（如test），服务器返回了异常响应：

HTTP/1.1 500 Internal Server Error ... org.apache.struts2.StrutsException: For input string: "test" at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:246) at org.apache.struts2.impl.StrutsActionProxy.execute(StrutsActionProxy.java:54) ... [完整堆栈跟踪]

4. 关键信息提取与漏洞确认

从错误响应中我们可以提取出以下关键信息：

• 框架识别：明确使用了Apache Struts2
• 版本确认：通过类路径可以推断版本为2.3.x系列
• 漏洞验证：信息泄露属于CWE-209: Information Exposure

使用以下命令验证Struts版本漏洞：

searchsploit apache struts 2.3.31

你会发现这个旧版本存在多个已知高危漏洞（如S2-045、S2-046）。在实际渗透测试报告中，应包含：

1. 漏洞描述
2. 重现步骤
3. 风险等级评估
4. 修复建议（升级到最新稳定版）

5. 进阶技巧与防御方案

掌握了基础方法后，可以尝试以下进阶技巧：

• 自动化测试：结合Intruder模块批量测试参数
• 时间延迟检测：修改参数后观察响应时间差异
• 编码混淆：尝试URL编码、HTML实体等变形方式

对于开发人员，防御此类漏洞应当：

1. 全局错误处理：自定义错误页面，避免泄露堆栈信息
2. 输入验证：对productId实施严格类型检查
3. 安全头设置：添加X-Content-Type-Options: nosniff等HTTP头

6. 实战经验分享

在实际测试中，我发现几个容易忽略但极其有效的技巧：

1. 修改HTTP方法：将GET改为POST有时会暴露不同行为
2. 头信息注入：尝试添加或修改X-Forwarded-For等头
3. 版本指纹识别：结合其他工具如WhatWeb进行交叉验证

记住，每个异常响应都是线索——即使是404页面，不同的服务器配置也会泄露不同信息。保持好奇心，系统性地测试每个参数，你会发现更多隐藏的漏洞。