使用Elasticsearch分析Burp Suite中的数据

• 环境部署
• 安装Java环境
• 下载社区版Jar版Burp
• 安装Logger++插件
• 部署Elastic环境
• Logger++日志记录到Elastic

1. 安装Java环境
2. 下载社区版Jar版Burp
3. 安装Logger++插件
4. 部署Elastic环境
5. Logger++日志记录到Elastic

1. 百度【oracle java】
2. 【Java 17】【Windows】【x64 Compressed Archive】
3. https://download.oracle.com/java/17/latest/jdk-17_windows-x64_bin.zip
4. 解压到【E:Java】
5. 配置环境变量：
   1. JAVA_HOME: 【E:Javajdk-17.0.3.1】
   2. CLASSPATH: 【.;%JAVA_HOME%lib;%JAVA_HOME%libdt.jar;%JAVA_HOME%libtools.jar】
   3. Path: 【%JAVA_HOME%bin】
   4. Path: 【%JAVA_HOME%jrebin】
6. 导出jre【win + r】【binjlink.exe --module-path jmods --add-modules java.desktop --output jre】
7. 【E:Javajdk-17.0.3.1jre】

1. 【https://portswigger.net/burp/communitydownload】
2. 【Go straight to downloads】
3. 【Burp Suite Community Edition】【JAR】
4. 解压后放在【E:burpsuite】
5. 下载汉化包【https://github.com/funkyoummp/BurpSuiteCn/releases】【BurpSuiteCnV2.0.jar】
6. 汉化包解压后放在【E:burpsuite】
7. 创建快捷方式【%JAVA_HOME%binjavaw.exe --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED -Dsun.java2d.uiScale=1 -Dfile.encoding=utf-8 -javaagent:BurpSuiteCnV2.0.jar -jar .burpsuite_community_v2022.3.6.jar】

1. 【https://github.com/nccgroup/LoggerPlusPlus/releases】【LoggerPlusPlus.jar】
2. 将JAR包放在【E:burpsuiteextender】
3. 打开Burp【Extender】【add】
4. 【Select file】【E:burpsuiteextenderLoggerPlusPlus.jar】

https://www.elastic.co/guide/en/elasticsearch/reference/7.13/docker.html

1. 【docker pull docker.elastic.co/elasticsearch/elasticsearch:7.13.2】
2. 【docker pull kibana:7.5.0】
3. 【wsl -d docker-desktop】
4. 【sysctl -w vm.max_map_count=262144】
5. 创建【D:dataelasticsearchconf】【D:dataelasticsearchdata】文件夹
6. 创建es配置文件【D:dataelasticsearchconfelasticsearch.yml】

   # 集群名称
   cluster.name: test-es
   # 节点名称
   node.name: node-1
   # 数据文件与日志文件存放目录
   path.data: /data/es/data
   path.logs: /data/es/logs
   # 网络设置
   network.host: 0.0.0.0
   http.port: 9200
   # 集群设置
   cluster.initial_master_nodes: ["node-1"]
   

7. 启动es容器【docker run -u root --name es -d -v D:dataelasticsearchdata:/data -v D:dataelasticsearchconfelasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml -p 9200:9200 -p 9300:9300 docker.elastic.co/elasticsearch/elasticsearch:7.13.2】
8. 创建【D:datakibanaconf】
9. 创建kibana配置文件【D:datakibanaconfkibana.yml】

   # Default Kibana configuration for docker target
   server.name: kibana
   server.host: "0"
   elasticsearch.hosts: [ "http://es:9200" ]
   xpack.monitoring.ui.container.elasticsearch.enabled: true
   i18n.locale: "zh-CN"
   

10. 启动kibana容器【docker run -d --log-driver json-file --log-opt max-size=100m --log-opt max-file=2 -p 5602:5601 --link es:es -v D:datakibanaconfkibana.yml:/usr/share/kibana/config/kibana.yml kibana:7.5.0】
11. 查询所有索引【http://127.0.0.1:5602/app/kibana#/dev_tools/console】【GET /_cat/indices?v】

1. 配置Burp中的Logger++【Logger++】【Options】【Configure Elastic Exporter】
   1. Address: 【127.0.0.1】
   2. Port: 【9200】
   3. Protocol: 【http】
   4. Index: 【logger】此处配置将会在es中创建该索引
   5. Auth: 【无】
   6. Upload Frequency (Seconds): 【10】
   7. Exported Fields: 【Configure】【select all】【Save】输入新的名字【OK】
   8. Autostart Exporter (All Projects): 【√】
2. 关闭配置框，【Start Elastic Exporter】
3. 使用Python发送数据并使用Burp代理

   import requests
   
   proxies={
       'http': 'http://127.0.0.1:8080',
       'https': 'https://127.0.0.1:8080'
   }
   
   requests.get("https://www.baidu.com", verify=False, proxies=proxies)
   

4. 查询所有索引【http://127.0.0.1:5602/app/kibana#/dev_tools/console】【GET /_cat/indices?v】能看到新的logger索引
5. 在Logger++中看到数据后，配置kibana【http://127.0.0.1:5602/app/kibana#/management】
6. 【创建索引模式】【包括系统索引】填写【logger】【下一步】时间筛选字段【Request.Time】【创建索引模式】
7. 使用kibana查看Burp传递过来的数据【http://127.0.0.1:5602/app/kibana#/discover】
8. 搜索数据【Request.Hostname : www.baidu.com】（搜索语法参考：https://www.elastic.co/guide/en/kibana/7.5/kuery-query.html）