BurpSuite插件RouteVulScan配置详解:如何用YAML文件打造你的专属脆弱路径检测规则库
BurpSuite插件RouteVulScan配置详解:如何用YAML文件打造你的专属脆弱路径检测规则库
在渗透测试和红队行动中,路径遍历、敏感文件泄露等"简单却致命"的漏洞往往被传统扫描器忽视。RouteVulScan作为BurpSuite生态中的轻量级递归检测插件,通过YAML配置文件实现了检测逻辑与业务场景的深度适配。本文将带你从配置文件结构解析到实战规则编写,掌握定制化脆弱路径检测的艺术。
1. 理解RouteVulScan的核心检测机制
RouteVulScan采用递归路径探测+正则匹配的双重检测模式。与传统爆破工具不同,它会对流经Burp的每个URL进行智能拆解:
原始URL: https://target.com/api/v1/user/profile 探测路径: - / - /api/ - /api/v1/ - /api/v1/user/每个探测层级都会应用用户定义的YAML规则进行检测,这种设计显著降低了请求量(相比传统爆破减少90%以上请求)。其检测流程可概括为:
- 路径解析:自动提取URL各层级路径
- 规则应用:加载YAML配置中的正则表达式规则
- 响应匹配:检查响应状态码、正文内容等特征
- 结果呈现:在VulDisplay界面标记可疑路径
提示:插件默认跳过含文件后缀的路径(如.js/.css),专注检测可能存在的目录级漏洞
2. 配置文件解剖:YAML结构深度解读
初始配置文件通常位于BurpSuite目录下的Config_yaml.yaml,其结构分为三大核心模块:
2.1 全局参数配置
global: thread: 10 # 并发线程数(建议不超过规则总数) status_code: "200,302" # 关注的状态码范围 update_url: "" # 规则自动更新URL关键参数说明:
| 参数 | 类型 | 说明 | 推荐值 |
|---|---|---|---|
| thread | int | 并发检测线程数 | 5-15 |
| status_code | string | 匹配状态码(支持范围) | "200-299,403,500" |
| update_url | string | 规则库更新地址 | 私有规则库URL |
2.2 规则定义部分
这是配置文件的核心,每个规则单元包含以下要素:
rules: - name: "SpringBoot Actuator泄漏" path: "/actuator/{{random_str}}" method: "GET" headers: User-Agent: "Mozilla/5.0" regex: - "management.context-path" - "beans\\\"\\:\\[\\{" vul_type: "信息泄露"特殊语法说明:
{{random_str}}:自动生成8位随机字符串{{request.head.cookie}}:动态获取原始请求的Cookie{{response.head.server}}:匹配响应头中的Server字段
2.3 高级过滤配置
filters: bypass: [";","%00"] # 绕过WAF的变形字符 exclude: # 排除检测的路径 - "/static/" - "/images/" content_type: # 需检测的响应类型 - "text/html" - "application/json"3. 实战规则编写:从分析到实现
3.1 CMS备份文件检测规则
以WordPress为例,常见备份文件路径规律如下:
- 文件名包含
backup、dump等关键词 - 扩展名多为
.sql、.zip、.tar.gz - 通常位于网站根目录或wp-content目录
对应YAML规则:
- name: "WordPress备份文件泄露" path: "/wp-content/{{file_name}}" method: "GET" regex: - "CREATE TABLE `wp_" - "WordPress database dump" file_name: - "backup_2023.sql" - "site_dump.zip" - "wp_backup.tar.gz" vul_type: "敏感数据泄露" status_code: "200-299"3.2 API调试接口检测
现代框架常遗留调试接口,如Spring的/env、Flask的/console等。这类检测需要:
- 识别框架特征(如响应头中的X-Powered-By)
- 组合常见调试路径
- 验证返回数据格式
- name: "Spring Boot Actuator接口" path: "/{{endpoint}}" method: "GET" headers: Accept: "application/json" regex: - "\\\"management\\\":\\{\\\"health\\\"" - "\\\"beans\\\":\\[\\{" endpoint: - "actuator" - "manage" - "admin" condition: response.head: "X-Application-Context" vul_type: "系统信息泄露"4. 高阶技巧:动态变量与智能匹配
RouteVulScan支持通过双花括号语法实现动态内容注入:
4.1 请求内容提取
- name: "基于Cookie的路径探测" path: "/admin/{{request.head.cookie|split('=')[0]}}" method: "GET" regex: "Admin Dashboard"可用请求变量:
{{request.path}}:当前请求路径{{request.method}}:HTTP方法{{request.head.*}}:任意请求头
4.2 响应内容复用
- name: "CSRF Token检测" path: "/api/{{response.head.set-cookie|match('csrf_token=(.*?);')}}" method: "POST" regex: "invalid token"响应变量示例:
{{response.status}}:状态码{{response.head.server}}:Server头{{response.body}}:响应正文(谨慎使用)
4.3 正则表达式优化技巧
避免使用过于宽泛的正则,推荐采用锚点定位:
# 不推荐(可能误报) regex: "password" # 推荐(精确匹配JSON键值) regex: "\"password\"\\s*:\\s*\"[^\"]+\""常用正则模式:
| 场景 | 正则示例 | 说明 |
|---|---|---|
| JSON值提取 | "username"\s*:\s*"([^"]+)" | 匹配双引号内的值 |
| HTML标签 | `<input[^>]+name="(token | csrf)"[^>]+>` |
| 错误信息 | `(?i)error | exception |
5. 规则库维护与性能调优
5.1 规则分类管理
建议按漏洞类型分块组织YAML文件:
# 信息泄露类 leak_rules: - name: "Git泄露" path: "/.git/config" ... - name: "DS_Store文件" path: "/.DS_Store" ... # 配置错误类 config_rules: - name: "PHPInfo泄露" path: "/info.php" ...5.2 性能优化参数
通过以下配置平衡检测深度与效率:
global: thread: 8 # 根据机器性能调整 timeout: 5000 # 单请求超时(毫秒) max_depth: 5 # 最大路径探测深度 rules: - name: "高优先级规则" priority: 1 # 执行优先级(1-10) interval: 100 # 请求间隔(毫秒)5.3 私有规则库搭建
推荐使用Git维护团队规则库:
# 定期更新本地规则 git clone https://internal-git/routevulscan-rules.git ln -s routevulscan-rules/config.yaml Config_yaml.yaml更新策略建议:
- 主分支:稳定验证过的规则
- Dev分支:新规则测试
- 每日自动同步机制
6. 典型误报处理方案
6.1 排除特定内容类型
filters: exclude: - "/static/" - "/vendor/" content_type: - "text/html" - "application/json" min_size: 100 # 最小响应大小(字节)6.2 模糊匹配优化
原始规则:
regex: "admin"优化方案:
regex: - "<title>Admin Console</title>" - "\\\"role\\\":\\\"admin\\\"" - "(?i)\\badmin_(panel|dashboard)\\b"6.3 状态码精细控制
status_code: "200,403" # 只关注这两个状态码 # 或使用范围 status_code: "200-299,500-599"7. 检测逻辑扩展思路
7.1 结合历史请求
通过Burp的Site Map获取关联路径:
- name: "历史路径扫描" path: "/{{request.path}}/{{random_str}}" scan_history: true # 自动扫描同host的历史路径7.2 多步骤检测
实现简单的逻辑串联:
- name: "两步验证漏洞" step1: path: "/auth/check" regex: "\"status\":\"weak\"" step2: path: "/admin/bypass" method: "POST" condition: step1.status == 2007.3 时间延迟检测
识别时间型漏洞特征:
- name: "延时注入检测" path: "/api?q=1 AND SLEEP(5)" timeout: 10000 # 延长超时时间 regex: "\\\"status\\\":\\\"timeout\\\""