Usando o Burp para ataques automatizados

Evan Mueller
Usando o Burp para ataques automatizados

Suíte burp

Burp Suite é uma ferramenta de ataque de aplicativo da web rica em rica, projetada por PortSwigger. Está equipado com tudo o que é necessário para realizar um penteiro bem -sucedido em um aplicativo da web. Burp é o testador e scanner de aplicativos da web mais amplamente utilizados do mundo, com mais de 40.000 usuários ativos, devido à sua interface e profundidade fácil de usar. Já é um aplicativo web incrível pentesting com recursos que podem aumentar ainda mais com a adição de extensões ou complementos chamados Bapps.

Arrota As principais características são as seguintes:

  • A capacidade de interceptar o HTTP solicita que normalmente vão do navegador para o servidor e, em seguida, o servidor retorna a resposta. Isso é feito por seu principal recurso chamado “Proxy interceptando ”. Aqui a solicitação é interrompida no meio do caminho e vai do navegador do usuário para arrotar, e depois o servidor.
  • A capacidade de mapear o alvo, eu.e., aplicativo da web usando o "Aranha" ferramenta. Isso é feito para obter a lista de pontos de extremidade e rastejar por eles para encontrar algumas vulnerabilidades neles.
  • Uma ferramenta avançada de aplicativo da Web de varredura para automatizar tarefas de detectar vulnerabilidades no destino (disponível apenas na versão Pro).
  • Um "Intruso" A ferramenta é usada para ataques automatizados, como forçar a página de login de um aplicativo da web, ataques de dicionário, fundindo o aplicativo da web para encontrar vulnerabilidades, etc.
  • A "Repetidor" Ferramenta usada para manipular os valores ou solicitações fornecidas pelo usuário e observar seu comportamento para encontrar vetores potencialmente vulneráveis.
  • A “Sequenciador” Ferramenta para testes de tokens de sessão.
  • A “Decodificador” ferramenta para decodificar e codificar vários esquemas de codificação como base64, hexadecimal.
  • A capacidade de salvar o trabalho e retomar mais tarde (disponível apenas na versão Pro).

Instalação

Arrotar Suíte pode ser baixado no site oficial da PortSwigger:

https: // Portswigger.NET/BURP/CommunityDownload.

Burp está disponível para download para quase todos os sistemas operacionais, incluindo Windows, Linux e MacOS. Ao clicar na opção Baixar a versão mais recente, você será redirecionado para uma página de download com diferentes edições e sistemas operacionais, I I.e., Edição da comunidade ou Edição Profissional. A edição profissional é paga com preços escritos em seu site oficial. Baixe a edição da comunidade e você está pronto para usar seus recursos incríveis básicos.

Uso

Para ser usado Arrotar, Ele precisa ser configurado para interceptar solicitações HTTP. Para configurar os navegadores, eu.e., Chrome, Firefox, etc., Temos que seguir as etapas abaixo:

Para configurar o Chrome trabalhar com o arroto

Para configurar o Chrome para trabalhar com um arroto, primeiro, clique em Customizar opção no canto superior direito da janela e depois vá para o Configurações opção. Na janela Configurações, escolha Configurações avançadas, e depois clique em Altere as configurações de proxy Das opções dadas.

Para configurar o Firefox para trabalhar com o arroto

Para configurar o Firefox para trabalhar com um arroto, vá para o Menu do Firefox No canto superior direito da janela, clique no Preferências opção, depois vá para o Opções botão. Aqui, procure por Proxy de rede no Em geral aba. Clique no Config manual de proxy. Digite o endereço do ouvinte, eu.e., 127.0.0.1, e porto de burp, eu.e., 8080. Exclua tudo no “Sem proxy para ” campo, e você está pronto para ir.

Ataque de força bruta usando o burp

Autenticação é o processo de garantir que a pessoa certa esteja acessando o serviço ou a pessoa certa está fazendo login, usando diferentes técnicas como tokens de acesso, senhas, chaves, etc. O uso de senhas é altamente comum na vida cotidiana. Aí vem a importância da autenticação básica, eu.e., A escolha de uma senha complexa forte, porque a área de login protegida com autenticação fraca pode ser acessada facilmente usando ataques automatizados como forçando bruto, ataques de dicionário.

O ataque de dicionário é um ataque de força bruta em um campo de login com a ajuda de um dicionário. Neste ataque, centenas de milhares de combinações possíveis de senhas adivinhadas armazenadas em um dicionário são experimentadas no campo de login, com a intenção de que um deles possa funcionar. Essas senhas são tentadas sucessivamente no campo de login para ignorar a autenticação.

Vamos considerar um cenário em que temos que forçar uma página de login usando um dicionário ou uma lista de palavras contendo centenas de milhares ou milhões de senhas comumente vazadas.

Abra a suíte Burp e comece a interceptar o tráfego girando Interceptar. Mude para o navegador e insira qualquer nome de usuário ou senha nos campos especificados e clique em Login. Agora mude para Arrotar, Você verá que o tráfego foi interceptado no meio do caminho para o servidor e vai para arrotar. Clique com o botão direito do mouse e escolha, Enviar para o intruso Das opções dadas.

Agora, mude para Intruso guia, e veremos várias guias, eu.e., Posições, cargas úteis, opções. Temos que configurar todas as opções nessas guias corretamente para deixar o arroto fazer seu trabalho e obter o resultado desejado.

Posições

Vejamos a guia Posições primeiro. Aqui, dizemos ao explosão os parâmetros que queremos atacar no pedido, eu.e., campo de senha, campo de nome de usuário, etc.

Por padrão, Burp destaca alguns campos para recomendar ao usuário quais campos eles podem atacar. Mas no nosso caso, precisamos apenas alterar o valor do nome de usuário e senha campos, para que sejam alterados com a próxima palavra no dicionário, através do qual estamos atacando em todos os pedidos. Para isso, precisamos primeiro limpar todas as áreas destacadas clicando no Claro botão no lado direito da janela. Isso vai esclarecer as áreas destacadas recomendadas por Burp. Agora, destaque os campos de nome de usuário e senha, que são “NÃO EXISTE" no nosso caso, e depois clique Adicionar. Também precisamos especificar o tipo de ataque, que é atirador, por padrão e alterá -lo para Bomba de cluster.

Cargas úteis

Agora, temos que definir nossa carga útil através da qual vamos atacar esses campos selecionados. Seus valores serão alterados com cada solicitação de acordo com a carga útil. Vamos configurar uma carga útil para o parâmetro 1, eu.e., Nome de usuário Campo. Vamos adicionar uma pequena lista de palavras de nomes de usuário que temos em um arquivo. Clique na carga útil 1 e escolha o tipo de carga útil como Lista simples. Em Opção de carga útil, clique Carregar e vá para o arquivo de lista de palavras desejado e selecione -o. Os valores da lista de palavras selecionados serão mostrados como dado abaixo.

Agora, na criação de uma carga útil para o parâmetro 2, eu.e., O campo de senha, vamos adicionar uma lista de palavras comumente usada de senhas vazadas, eu.e., ““Rockyou.TXT" Desde o nosso caso, temos isso em um arquivo. Clique em Payload 2 e escolha o tipo de carga útil como Lista simples. Em Opção de carga útil, clique Carregar e vá para o arquivo de lista de palavras desejado e selecione -o. Os valores da lista de palavras selecionados serão mostrados como dado abaixo.

Opções

Depois de configurar os parâmetros de ataque e a lista de carga útil, é hora de configurar uma opção muito importante chamada “Opções ”. Na guia Opções, algumas regras definidas para nos dizer qual solicitação foi bem -sucedida; No nosso caso, ele dirá qual senha funcionou. Temos que configurar uma coisa aqui, que é a string ou mensagem que será exibida para obter a senha certa, eu.e., Bem -vindo, bem -vindo ao nosso portal, bom estar de volta, etc. Depende do desenvolvedor de aplicativos da web. Podemos verificar entrando em quaisquer credenciais certas na área de login.

Temos “bem -vindo ao administrador da área protegida por senha” aqui. Agora, mude para arrotar no Guia Opções, encontrar Match Grep, e escreva a seguinte string aqui. Verifica a String simples opção, e estamos prontos para ir.

Tudo está bem configurado. Agora, tudo o que precisamos fazer é iniciar o ataque. Vá para a guia Intruder e depois clique Inicie o ataque. Um intruso agora tentará todas as combinações possíveis das cargas úteis fornecidas.

Podemos ver o intruso tentando todas as combinações como a imagem dada acima. Podemos ver se a solicitação é bem -sucedida ou não, olhando para a duração dos pedidos. O pedido bem-sucedido seria de um comprimento diferente do que não está bem-sucedido. Outra maneira de saber se a solicitação é bem -sucedida ou não é olhar para a “área bem -vinda à senha protegida” (i.e., a string que fornecemos ao Opções guia anterior) guia. Se a caixa pequena estiver marcada, significa que a solicitação é bem -sucedida e vice -versa. No nosso caso, a solicitação bem -sucedida tem comprimento 4963, enquanto é 4902 no caso de um malsucedido.

O ataque de força bruta usando o burp, com a ajuda de um poderoso dicionário, é um método muito eficaz e subestimado de ignorar as páginas de login, que não são feitas para entidades maliciosas. Em caso de senha fraca, uma senha usada, fácil ou pequena, essa é uma técnica muito eficaz.

Fuzzing

A fuzzing é uma abordagem usada para automatizar o processo de descoberta de bugs, fraquezas ou vulnerabilidades enviando uma tonelada de solicitações a um aplicativo com várias cargas úteis, com a expectativa de que o aplicativo da web possa acionar uma atividade. Não é explícito para aplicativos da Web, mas também pode ser usado em outros inúmeros ataques como buffer, transbordamento, etc. Uma grande maioria das vulnerabilidades da web comum pode ser encontrada através da difamação como scripts cruzados do XSS, injeção de SQL, LFI, RFI, etc. Burp é realmente poderoso e também é a melhor ferramenta disponível - ao fazer o trabalho sem problemas.

Fuzzing com arroto

Vamos aceitar um aplicativo da web vulnerável à injeção de SQL e o confundir com o Burp para encontrar campos potencialmente vulneráveis.

Fire Burp e comece a interceptar a solicitação de login. Veremos um monte de dados, clicar com o botão direito do mouse e clicar no Enviar para o intruso Opções do menu fornecido. Vou ao Posições guia e configure os parâmetros certos. Por padrão, Burp destaca alguns campos para recomendar ao usuário o que campos o usuário pode atacar. Mas no nosso caso, só precisamos alterar o valor de nome de usuário e senha Campos. Primeiro, limpe todas as áreas destacadas clicando no Claro botão no lado direito da janela. Isso vai clarear áreas destacadas recomendadas. Agora, basta destacar os campos de nome de usuário e senha e clique Adicionar. Também precisamos especificar o tipo de ataque e alterá -lo para Atirador de elite.

Agora, vá para a guia Cargas e, aqui, temos que definir nossa carga útil através da qual vamos atacar esses campos selecionados. Seus valores serão alterados com cada solicitação de acordo com a carga útil. Vamos configurar uma carga útil para o parâmetro 1 e o parâmetro 2, i.e., Campos de nome de usuário e senha, respectivamente. Arrotar Também possui uma ampla gama de cargas úteis para diferentes tipos de vulnerabilidades. Podemos usá -los ou criar ou carregar um dos nossos em interface fácil de usar. Nesse caso, vamos carregar Arrota carga útil que acionará um alerta em caso de encontrar uma vulnerabilidade SQL.

Selecione Lista simples em Tipo de carga útil opção. Agora, clique na opção de carregamento do “Opções de carga útil” janela. Aqui, selecione Injeção de Fuzzing-SQL carga útil das opções disponíveis. Conjuntos de carga útil são usados ​​para descobrir a lista que você está prestes a usar para um parâmetro especificado. No caso de você escolher dois vetores de ataque (parâmetros), você pode definir uma lista de palavras alternativa para todos. Da mesma forma, você pode definir o tipo de carga útil, como alteração de casos, números, datas e assim por diante. Para esta situação, a lista básica é vital, pois estamos usando a carga útil padrão de Burp.

Agora, vá para o Opções guia, e você pode ver algumas opções muito interessantes. Por exemplo, o “Grep ” opção que pode ser selecionada para corresponder à resposta às palavras -chave fornecidas como "SQL". Outra opção legal é o "Tempo esgotado" opção que é muito útil em caso de possíveis firewalls de aplicativos da web. No nosso caso, verificamos a opção "Siga o redirecionamento", pois temos um parâmetro de redirecionamento na solicitação. No entanto, de vez em quando, o erro pode acionar adicionalmente antes do redirecionamento, ambos podem ser testados separadamente.

Agora, tudo está bem configurado, e o intruso do burp está pronto para iniciar o ataque. Clique na opção de ataque inicial no canto esquerdo e aguarde o ataque, que literalmente levaria horas manualmente para ser concluído, em apenas um minuto ou dois. Depois que o ataque é concluído, tudo o que precisamos fazer é analisar de perto os resultados fornecidos. Devemos procurar um valor diferente ou ímpar no comprimento coluna. Deve -se procurar qualquer anomalia no código de status também, pois também diz qual solicitação causou um erro e vice -versa.

Ao obter um código de status ímpar ou valor de comprimento, é preciso verificar o resposta janela. No nosso caso, podemos ver que a 4ª solicitação tem um código de status diferente e um valor de comprimento mais alto que o habitual e, ao olhar para a área de resposta, podemos ver que o arroto pode ignorar a área de login usando um valor da carga útil. O ataque pode ser considerado como bem -sucedido.

Essa é uma técnica muito eficaz nos procedimentos de recompensa e teste de canetas, pois investiga todos os parâmetros presentes no site e tenta compreender o que faz, se estiver conectado ao banco de dados ou sendo refletido na página de resposta, entre outros. Essa técnica, no entanto, causa muito ruído no lado do servidor e pode até levar à negação de serviço, o que é frustrante para os invasores, bem como para usuários e desenvolvedores de aplicativos da web.

Extensões de arroto

Com a ajuda do Burp Extender, inúmeras extensões úteis de explosão podem ser adicionadas para aprimorar os recursos do arroto. Pode-se escrever seu código de terceiros ou extensões de carga. Para carregar e instalar extensões para arrotar, Bap A loja é o lugar para ir. Existem vários usos para extensões de explosão, como modificar solicitações e resposta HTTP, personalizar a interface do usuário, adicionar verificações de scanner e tempo de execução, etc.

Bapp Store

A loja BAPP consiste em extensões de explosão que foram compostas por clientes da Suite Burp para aprimorar as habilidades e recursos do Burp. Você pode ver o resumo dos bapps acessíveis introduziu bapps explícitos e enviando classificações de clientes para aqueles que você introduziu.

Extensões de arroto também podem ser baixadas do Bap site da loja e pode ser adicionado a arrotar mais tarde. Diferentes extensões bapps ou bap são escritas em diferentes idiomas como Python ou Ruby e esperam que o usuário baixe Jython ou Jruby para que eles funcionem corretamente. Em seguida. Em alguns casos, um bapp pode exigir uma forma posterior de arroto ou uma versão alternativa do arroto. Vejamos algumas das enormes extensões úteis de Burp:

Automaticamente:

Autorize é uma extensão muito eficaz quando há necessidade de detectar vulnerabilidades de autorização em um aplicativo da Web automaticamente. Detectar a Autorização Vulnerabilidades é uma tarefa muito demorada para qualquer caçador de recompensas de insetos ou pentester. No método manual, você precisa remover cookies sempre de cada solicitação para verificar se a autorização foi implementada ou não. Automaticamente Esse trabalho faz automaticamente apenas pegando cookies de um usuário de baixo privilégio de um aplicativo da web e, em seguida, deixando o usuário mais privilegiado navegar. Autorize faz isso repetindo cada solicitação com uma sessão de usuário de baixo privilégio e começa a detectar vulnerabilidades ou falhas de autorização.

Da mesma forma, é concebível repetir cada solicitação sem cookies fornecidos, para reconhecer falhas de autenticação e vulnerabilidades de autorização. Esta extensão funciona sem nenhuma configuração prévia, mas ao mesmo tempo é profundamente adaptável, permitindo o arranjo da granularidade das condições de autorização de aprovação e solicitando a extensão A deve testar e outros enfeites.

Ao concluir o procedimento, haverá Vermelho verde, e Amarelo cores na tela, mostrando “Desviado "," aplicado "e" é imposto ?? ” status respectivamente.

Intruder turbo

Turbo Intruder é uma versão modificada de Burp Intruder e é usado quando há necessidade de extrema complexidade e velocidade para lidar com solicitações HTTP. O Intruder Turbo é rápido, pois usa um código de entrega de pilha HTTP da base, priorizando e mantendo a velocidade. Isso o torna extremamente rápido e, às vezes, até uma opção melhor do que os scripts Go bem escritos. Sua natureza escalável é outro destaque, que se deve à sua capacidade de alcançar o uso de memória plana. O intruso turbo também pode ser executado em um ambiente de linha de comando. Um algoritmo Diffing Avançado é construído nesta extensão incrível, que filtra automaticamente a saída chata e inútil.

Um dos principais ataques em que o intruso turbo pode ser usado é Ataques de condição de corrida. Quando um sistema que foi projetado para executar tarefas em uma sequência específico é forçado a executar mais de uma tarefa por vez, é chamada de condição de corrida. Nesse tipo de cenário, Intruder turbo é usado, pois pode executar várias tarefas com uma velocidade enorme. Esse tipo de ataque pode ser usado na existência de vulnerabilidade da condição de corrida e pode causar ataques como resgatar vários cartões -presente, abusar de recursos iguais/diferentes, etc.

Para enviar a solicitação HTTP para o Turbo Intruder, intercepte a solicitação e clique com o botão direito do mouse na janela e selecione o Enviar para o Turbo Intruder opção da lista fornecida de opções. O intruso turbo é um pouco mais difícil de usar do que o invasor padrão de Burp.

Conclusão:

Burp é uma ferramenta extremamente poderosa e rica, cuja única de suas impressionantes funções e recursos é automatizar os ataques e encontrar vulnerabilidades, o que facilita a vida muito mais fácil para um pentester ou um caçador de recompensas. Tarefas que podem levar dias manualmente podem ser feitas no mínimo de tempo usando o BURP e também fornece uma interface gráfica fácil para iniciar ataques de força bruta com ou sem um dicionário, apenas fazendo a lista de palavras no momento. Por outro lado, o Bap A loja fornece extensões extremamente poderosas que aprimora ainda mais as capacidades de Suíte burp.

php
Qual é a diferença entre .= e += operadores em php
O .= O operador pode concatenar duas strings e o operador += adiciona dois números. O operador += co...
Joey Bartoletti
php
Como usar a função php rand
A função rand () no PHP pode ser usada para gerar números aleatórios para vários fins, como gerar se...
Bryant Rowe Sr.
C ++
Como encontrar o tamanho de uma string em c++?
Para encontrar o tamanho de uma corda em C ++, você pode usar as funções ou loops de tamanho (), com...
Ed Treutel IV
R
Como criar um quadro de dados vazio r
Tommie Konopelski
Docker
O que é o Docker Bind Mounds?
Salvatore Watsica
Comandos Linux
Como instalar e ativar a autenticação multifatorial SSH para sistemas Linux
Orlando Green
JavaScript
Como funciona o OnClick Event em JavaScript
Ed Treutel IV
Golang
Como usar o tempo.Agora funcione em Golang - exemplos
Carl Hintz DDS
AWS
O que é o elástico beanstalk? É PaaS ou IaaS?
Benny Hilll DDS
Golang
Quais são os tipos de dados em Golang
Bryant Rowe Sr.
Java
Como contar o número de palavras em uma string usando java?
Benny Hilll DDS
AWS
Uma comparação entre CloudTrail e Guardduty
Mr. Warren Cummerata
MS SQL Server
O que é MySQL RDBMS um guia abrangente
Shaun Bogan