Stepper está diseñado como una evolución natural de la herramienta Repeater de Burp Suite, proporcionando la capacidad de crear secuencias de pasos y definir expresiones regulares para extraer valores de las respuestas, los cuales pueden ser utilizados en pasos subsecuentes.
Un paso que utiliza una variable y define una nueva variable para su uso en pasos posteriores.
Uso de etiquetas Hackvertor con Stepper para funcionalidad adicional.
Vista previa del mensaje con los reemplazos a ser utilizados.
Compilación:
- Clona el repositorio.
- Utiliza Gradle para compilar el archivo JAR:
gradle jar. - Añade el archivo JAR compilado (
./releases/Stepper.jar) a Burp Suite.
Uso:
- Crea una nueva secuencia. Haz doble clic en el título para asignarle un nombre adecuado.
- Opcional: Configura las variables globales para la secuencia.
- Añade los pasos a la secuencia manualmente o mediante la opción en el menú contextual.
- Opcional: Define variables para los pasos, proporcionando una expresión regular que se utilizará para extraer los valores de la respuesta. Consejo: Puedes ejecutar un único paso para probar tus expresiones regulares usando el botón en la esquina superior derecha.
- Ejecuta la secuencia completa utilizando el botón en la parte inferior del panel.
Variables:
Las variables se pueden definir para su uso dentro de una secuencia. Consisten en un identificador y una expresión regular, o en el caso de las variables iniciales definidas en la pestaña ‘Globals’, un identificador y un valor. El valor de las variables de paso, definidas con una expresión regular, se establece a partir de la respuesta del paso en el que se definen. La variable está entonces disponible para ser utilizada en la petición de los pasos subsecuentes a su definición. Sin embargo, las variables globales, definidas con un valor literal inicial, pueden ser utilizadas a lo largo de toda la secuencia.
Tanto las variables de paso como las globales pueden ser actualizadas en pasos posteriores a su definición.
Variables de Expresión Regular:
Las variables que se definen con una expresión regular se actualizan cada vez que se ejecuta el paso en el que están definidas. La expresión regular se aplica sobre la respuesta recibida, y la primera coincidencia se utiliza como el nuevo valor. Si la expresión regular no tiene grupos de captura definidos, se utilizará la coincidencia completa. Si la expresión regular define grupos de captura, se utilizará el primer grupo. Si se requieren grupos pero no deben usarse como valor, se puede emplear un grupo sin captura. Por ejemplo: (?:REGEX)
Ejemplo:
Respuesta: “Hello People, Hello World!”
Expresión: World|Earth, Resultado: World
Expresión: Hello (World|Earth)!, Resultado: World
Expresión: (?:Goodbye|Hello) (World)!, Resultado: World
Uso de Variables:
Para utilizar una variable en una petición después de haber sido definida, usa la opción del menú contextual para copiar el parámetro al portapapeles, o insértalo manualmente como se muestra a continuación:
VAR:VARIABLEIDENTIFIERhttps://github.com/C0DEbrained/Stepper