[大数据]使用Elasticsearch分析Burp Suite中的数据

环境部署

1. 安装Java环境
2. 下载社区版Jar版Burp
3. 安装Logger++插件
4. 部署Elastic环境
5. Logger++日志记录到Elastic

安装Java环境

1. 百度【oracle java】
2. 【Java 17】【Windows】【x64 Compressed Archive】
3. https://download.oracle.com/java/17/latest/jdk-17_windows-x64_bin.zip
4. 解压到【E:\Java\】
5. 配置环境变量：
   1. JAVA_HOME: 【E:\Java\jdk-17.0.3.1】
   2. CLASSPATH: 【.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar】
   3. Path: 【%JAVA_HOME%\bin】
   4. Path: 【%JAVA_HOME%\jre\bin】
6. 导出jre【win + r】【bin\jlink.exe --module-path jmods --add-modules java.desktop --output jre】
7. 【E:\Java\jdk-17.0.3.1\jre】

下载社区版Jar版Burp

1. 【https://portswigger.net/burp/communitydownload】
2. 【Go straight to downloads】
3. 【Burp Suite Community Edition】【JAR】
4. 解压后放在【E:\burpsuite】
5. 下载汉化包【https://github.com/funkyoummp/BurpSuiteCn/releases】【BurpSuiteCnV2.0.jar】
6. 汉化包解压后放在【E:\burpsuite】
7. 创建快捷方式【%JAVA_HOME%\bin\javaw.exe --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED -Dsun.java2d.uiScale=1 -Dfile.encoding=utf-8 -javaagent:BurpSuiteCnV2.0.jar -jar .\burpsuite_community_v2022.3.6.jar】

安装Logger++插件

1. 【https://github.com/nccgroup/LoggerPlusPlus/releases】【LoggerPlusPlus.jar】
2. 将JAR包放在【E:\burpsuite\extender】
3. 打开Burp【Extender】【add】
4. 【Select file】【E:\burpsuite\extender\LoggerPlusPlus.jar】

部署Elastic环境

https://www.elastic.co/guide/en/elasticsearch/reference/7.13/docker.html

1. 【docker pull docker.elastic.co/elasticsearch/elasticsearch:7.13.2】
2. 【docker pull kibana:7.5.0】
3. 【wsl -d docker-desktop】
4. 【sysctl -w vm.max_map_count=262144】
5. 创建【D:\data\elasticsearch\conf】【D:\data\elasticsearch\data】文件夹
6. 创建es配置文件【D:\data\elasticsearch\conf\elasticsearch.yml】

   # 集群名称
   cluster.name: test-es
   # 节点名称
   node.name: node-1
   # 数据文件与日志文件存放目录
   path.data: /data/es/data
   path.logs: /data/es/logs
   # 网络设置
   network.host: 0.0.0.0
   http.port: 9200
   # 集群设置
   cluster.initial_master_nodes: ["node-1"]
   

7. 启动es容器【docker run -u root --name es -d -v D:\data\elasticsearch\data:/data -v D:\data\elasticsearch\conf\elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml -p 9200:9200 -p 9300:9300 docker.elastic.co/elasticsearch/elasticsearch:7.13.2】
8. 创建【D:\data\kibana\conf】
9. 创建kibana配置文件【D:\data\kibana\conf\kibana.yml】

   # Default Kibana configuration for docker target
   server.name: kibana
   server.host: "0"
   elasticsearch.hosts: [ "http://es:9200" ]
   xpack.monitoring.ui.container.elasticsearch.enabled: true
   i18n.locale: "zh-CN"
   

10. 启动kibana容器【docker run -d --log-driver json-file --log-opt max-size=100m --log-opt max-file=2 -p 5602:5601 --link es:es -v D:\data\kibana\conf\kibana.yml:/usr/share/kibana/config/kibana.yml kibana:7.5.0】
11. 查询所有索引【http://127.0.0.1:5602/app/kibana#/dev_tools/console】【GET /_cat/indices?v】

Logger++日志记录到Elastic

1. 配置Burp中的Logger++【Logger++】【Options】【Configure Elastic Exporter】
   1. Address: 【127.0.0.1】
   2. Port: 【9200】
   3. Protocol: 【http】
   4. Index: 【logger】此处配置将会在es中创建该索引
   5. Auth: 【无】
   6. Upload Frequency (Seconds): 【10】
   7. Exported Fields: 【Configure】【select all】【Save】输入新的名字【OK】
   8. Autostart Exporter (All Projects): 【√】
2. 关闭配置框，【Start Elastic Exporter】
3. 使用Python发送数据并使用Burp代理

   import requests
   
   proxies={
       'http': 'http://127.0.0.1:8080',
       'https': 'https://127.0.0.1:8080'
   }
   
   requests.get("https://www.baidu.com", verify=False, proxies=proxies)
   

4. 查询所有索引【http://127.0.0.1:5602/app/kibana#/dev_tools/console】【GET /_cat/indices?v】能看到新的logger索引
5. 在Logger++中看到数据后，配置kibana【http://127.0.0.1:5602/app/kibana#/management】
6. 【创建索引模式】【包括系统索引】填写【logger】【下一步】时间筛选字段【Request.Time】【创建索引模式】
7. 使用kibana查看Burp传递过来的数据【http://127.0.0.1:5602/app/kibana#/discover】
8. 搜索数据【Request.Hostname : www.baidu.com】（搜索语法参考：https://www.elastic.co/guide/en/kibana/7.5/kuery-query.html）

创作打卡挑战赛

赢取流量/现金/CSDN周边激励大奖