1. 为什么需要从历史流量中提取渗透字典做过渗透测试的朋友都知道字典的质量直接影响测试效率。传统方式要么用现成的通用字典要么手动收集整理前者命中率低后者耗时费力。我遇到过最头疼的情况是测试一个Web系统用通用字典跑了3天毫无收获后来从历史流量中提取参数重新构建字典2小时就发现了3个高危漏洞。历史流量就像一座金矿包含大量有价值的信息真实使用的API路径比猜测更精准实际请求参数包括各种id、token等关键字段业务特有词汇如电商的商品编码格式、金融的交易类型缩写开发者命名习惯比如有人喜欢用query_前缀有人偏爱驼峰命名2. Yakit如何智能提取关键参数2.1 准备工作捕获和存储历史流量首先确保Yakit已经记录测试流量。我习惯用MITM代理模式所有经过BurpSuite的请求都会自动同步到Yakit。如果是已有数据包可以直接导入# 导入har文件 yak it import -f traffic.har # 或者直接加载BurpSuite历史 yak it load-burp-history提示测试大型系统时建议按功能模块分批记录比如单独记录用户管理相关流量这样后续提取更有针对性。2.2 参数提取实战演示打开Yakit插件市场搜索参数提取器安装后你会看到一个简洁的界面。我常用的是这三个核心功能全自动扫描模式勾选深度解析JSON/XML设置参数最小长度过滤掉无意义的短参数点击执行后会自动生成包含以下内容的报告路径字典/api/v1/user/{id}参数名user_id, auth_token参数值样本10086, a1b2c3d4手动精选模式在History面板右键任意请求选择提取参数后会弹出增强版窗口可以预览所有候选参数手动勾选需要保留的项特别实用的值模式分析功能能自动识别参数格式数字ID纯数字长度8-10位MD5哈希32位十六进制时间戳10或13位数字智能去重与合并处理大量请求时经常会遇到相同参数不同大小写UserID vs user_id相似路径/api/v1/user和/api/v2/user 插件提供智能归一化选项比如统一转为小写合并只有版本号差异的路径移除无意义的查询参数如?_1234563. 构建高质量字典的进阶技巧3.1 参数组合策略单纯收集参数名还不够我总结出几种高效组合方式爆破专用字典# 用提取的参数名生成常见组合 params [id, token, key] values [test, admin, 123456] # 生成 namevalue 格式 with open(dict.txt, w) as f: for p in params: for v in values: f.write(f{p}{v}\n)路径fuzz字典将提取的路径如/api/user/{id}转换为/api/user/../../ /api/user/%2e%2e/ /api/user/{{7*7}}智能变形规则大小写变异Admin - admin, ADMIN添加常见后缀token - token123, token_字符串拼接id - id-1, id_old3.2 字典优化实战案例最近测试某OA系统时先用基础字典扫描无果。分析历史流量发现所有API路径都含/api/v3/模块名/action参数都是data{key:value}格式于是用Yakit提取后编写了这样的变形规则# 路径规则 原始路径/api/v3/user/getInfo 生成变体 /api/v3/user/getInfo~ /api/v3/user/getInfo.bak /api/v3/user/%67%65%74%49%6e%66%6f # URL编码 # 参数规则 原始参数data{id:1001} 生成变体 data{id:1001 and 11} data{id:sleep(5)} data{id:{$ne:1}}最终这个定制字典帮我们发现了5个SQL注入点而整个过程从分析到生成只用了20分钟。4. 常见问题与解决方案4.1 提取结果不理想怎么办遇到这些问题时可以尝试以下调整太多无关参数在插件设置中开启业务参数过滤添加排除关键词test、demo、example设置参数值长度范围比如只保留6-32位的值遗漏重要参数检查是否开启了深度扫描嵌套结构对于二进制流量需要先启用非文本解析选项手动添加已知关键参数到白名单重复项过多调整相似度阈值滑块建议70%-85%启用智能参数分组功能对结果执行二次去重4.2 与其他工具协同工作Yakit生成的字典可以无缝对接常用工具# 导出为BurpSuite格式 yak it export -t burp -o dict.json # 转换为Hydra需要的格式 cat params.txt | awk {print $1$2test} hydra_dict.txt # 加载到Sqlmap sqlmap -u http://target.com --param-datayakit_output.txt对于大型字典建议先进行轻量级处理# 字典去重排序工具 import hashlib seen set() with open(raw_dict.txt) as f, open(clean_dict.txt, w) as out: for line in f: hash_val hashlib.md5(line.strip().encode()).hexdigest() if hash_val not in seen: seen.add(hash_val) out.write(line)5. 我的实战经验分享去年参与某金融系统测试时常规扫描毫无进展。后来分析发现其API有这些特征路径含日期/api/20230101/transaction参数需要签名signmd5(参数排序后拼接)值有特定格式交易ID是TX13位数字用Yakit的高级模式配置正则提取规则路径匹配/api/(\d{8})/. 参数规则^[A-Z]{2}\d{13}$配合自定义脚本生成有效测试用例最终发现日期验证绕过漏洞签名算法可预测交易ID可枚举这套方法后来成为我们团队的标准流程平均提升测试效率40%以上。关键点在于先分析再爆破不要一上来就狂跑字典保持字典更新每次测试都累积新参数合理分类存储按业务、漏洞类型分目录存放