Używanie BURP do zautomatyzowanych ataków

Używanie BURP do zautomatyzowanych ataków

Apartament Burp

Burp Suite to bogate narzędzie do ataku na aplikację internetową zaprojektowaną przez Portswigger. Jest wyposażony we wszystko, co potrzebne do wykonania udanego najwyższego w stosunku do aplikacji internetowej. Burp to najczęściej używany na świecie tester i skaner aplikacji internetowych, z ponad 40 000 aktywnych użytkowników, ze względu na łatwy w użyciu interfejs i głębokość. Jest to już niesamowita aplikacja internetowa, która ma być o możliwościach, które mogą jeszcze bardziej zwiększyć poprzez dodanie rozszerzeń lub dodatków nazywanych Bapps.

Burp's Główne funkcje są następujące:

  • Możliwość przechwytywania żądań HTTP, które normalnie przechodzą od przeglądarki do serwera, a następnie serwer zwraca odpowiedź. Odbywa się to według jego podstawowej funkcji o nazwie „Przechwycenie proxy ”. Tutaj żądanie jest przerywane w połowie drogi i przechodzi od przeglądarki użytkownika do Burp, a następnie serwer.
  • Możliwość mapowania celu, i.mi., aplikacja internetowa za pomocą "Pająk" narzędzie. Odbywa się to, aby uzyskać listę punktów końcowych i czołgać się przez nie, aby znaleźć w nich pewne luki.
  • Zaawansowane narzędzie do aplikacji internetowej skanowania do automatyzacji zadań wykrywania luk w celu (dostępnych tylko w wersji pro).
  • Jakiś "Intruz" Narzędzie jest używane do automatycznych ataków, takich jak brutalna strona logowania aplikacji internetowej, ataki słownika, rozmycie aplikacji internetowej w celu znalezienia luk w zabezpieczeniach itp.
  • A "Przekaźnik" narzędzie używane do manipulowania wartościami lub żądaniami dostarczonymi przez użytkownika oraz obserwowania ich zachowania w celu znalezienia potencjalnie wrażliwych wektorów.
  • A „Sekwencer” narzędzie do testowania tokenów sesji.
  • A „Dekoder” Narzędzie do dekodowania i kodowania licznych schematów kodowania, takich jak Base64, Hex itp.
  • Możliwość zapisywania pracy i wznowienia później (dostępna tylko w wersji pro).

Instalacja

Beknięcie Zestaw Można pobrać z oficjalnej strony internetowej Portswigger:

https: // portswigger.netto/burp/communidownload.

Burp jest dostępny do pobrania dla prawie każdego systemu operacyjnego, w tym systemu Windows, Linux i MacOS. Klikając opcję Pobierz najnowszą wersję, zostaniesz przekierowany na stronę pobierania z różnymi edycjami i systemami operacyjnymi, i.mi., Wydanie społeczności Lub Profesjonalna edycja. Profesjonalna edycja otrzymuje ceny zapisane na oficjalnej stronie internetowej. Pobierz Edition Community, a możesz skorzystać z jej podstawowych niesamowitych funkcji.

Stosowanie

W celu wykorzystania Beknięcie, należy go skonfigurować do przechwytywania żądań HTTP. Aby skonfigurować przeglądarki, i.mi., Chrom, Firefox itp., Musimy wykonać kroki podane poniżej:

Aby skonfigurować Chrome do pracy z BURP

Aby skonfigurować Chrome do pracy z burpem, najpierw kliknij Dostosuj opcja w prawym górnym rogu okna, a następnie przejdź do Ustawienia opcja. W oknie Ustawienia wybierz Zaawansowane ustawienia, a następnie kliknij Zmień ustawienia proxy Z podanych opcji.

Aby skonfigurować Firefox do pracy z BURP

Aby skonfigurować Firefox do pracy z burpem, przejdź do Menu Firefox W prawym górnym rogu okna kliknij Preferencje opcja, a następnie przejdź do Opcje przycisk. Tutaj poszukaj Network Proxy w Ogólny patka. Kliknij Ręczne konfigurowanie proxy. Wprowadź adres słuchacza, i.mi., 127.0.0.1, i Port Burp, ja.mi., 8080. Usuń wszystko w „Brak proxy za ” pole, a ty jesteś gotowy.

Atak brutalnej siły za pomocą BURP

Uwierzytelnianie to proces upewnienia się, że odpowiednia osoba jest dostępna do usługi lub odpowiednia osoba, używając różnych technik, takich jak tokeny dostępu, hasła, klawisze itp. Korzystanie z haseł jest bardzo powszechne w życiu codziennym. Oto znaczenie podstawowego uwierzytelnienia, i.mi., Wybór silnego złożonego hasła, ponieważ obszar logowania chroniony słabym uwierzytelnianiem można łatwo uzyskać za pomocą zautomatyzowanych ataków, takich jak brutalne, słownikowe ataki.

Atak słownika to atak brutalnej siły na pole logowania za pomocą słownik. W tym ataku setki tysięcy możliwych kombinacji zgadniętych haseł przechowywanych w słowniku są wypróbowane na polu logowania, z zamiarem, że jeden z nich może działać. Te hasła są wypróbowane sukcesywnie w polu logowania, aby ominąć uwierzytelnianie.

Rozważmy scenariusz, w którym musimy brutalnie wymusić stronę logowania za pomocą słownika lub listy słów zawierających setki tysięcy lub milionów powszechnie wyciekających haseł.

Otwórz apartament Burp i zacznij przechwytywać ruch, obracając Przechwytuj się. Przełącz do przeglądarki i wprowadź dowolną nazwę użytkownika lub hasło na podanych polach, a następnie kliknij Zaloguj się. Teraz przełącz się na Beknięcie, zobaczysz, że ruch został przechwycony w połowie drogi idzie na serwer i zamiast tego idzie do Burp. Kliknij prawym przyciskiem myszy i wybierz, Wyślij do intruza Z podanych opcji.

Teraz przejdź do Intruz karta, a my zobaczymy wiele kart, i.mi., Pozycje, ładunki, opcje. Musimy poprawnie skonfigurować wszystkie opcje w tych kartach, aby Burp wykonał swoją pracę i uzyskać nasz pożądany wynik.

Pozycje

Najpierw spójrzmy na zakładkę pozycji. Tutaj informujemy o bekaniu parametrów, które chcemy zaatakować na żądanie, ja.mi., pole hasła, pole nazwy użytkownika itp.

Domyślnie BURP podkreśla niektóre pola, aby polecić użytkownikowi, jakie pola mogą zaatakować. Ale w naszym przypadku musimy tylko zmienić wartość nazwa użytkownika I hasło pola, aby zostały zmienione z następnym słowem w słowniku, przez które atakujemy w każdym żądaniu. W tym celu musimy najpierw wyczyścić wszystkie podświetlone obszary, klikając Jasne przycisk po prawej stronie okna. To wyczyści zalecane obszary Burp. Teraz zaznacz pola nazwy użytkownika i hasła, które są „NIE ISTNIEJE" W naszym przypadku, a następnie kliknij Dodać. Musimy również określić typ ataku, który jest domyślnie snajper, i zmienić go na Bomba klastra.

Ładunki

Teraz musimy ustawić nasz ładunek, przez który zamierzamy zaatakować te wybrane pola. Ich wartości zostaną zmienione z każdym żądaniem zgodnie z ładunkiem. Skonfigurujmy ładunek dla parametru 1, i.mi., Pole nazwy użytkownika. Dodajmy małą listę nazw użytkowników, które mamy w pliku. Kliknij ładunek 1 i wybierz typ ładowania Prosta lista. W Opcja ładowania, Kliknij Obciążenie i przejdź do żądanego pliku listy słów, a następnie wybierz go. Wybrane wartości listy słów zostaną pokazane jak podane poniżej.

Teraz konfigurując ładunek dla parametru 2, i.mi., Pole hasła, dodajmy powszechnie używaną listę słów wyciekanych haseł, i.mi., "Rockyou.tekst" Ponieważ w naszym przypadku mamy to w pliku. Kliknij ładunek 2 i wybierz Typ ładunku jako Prosta lista. W Opcja ładowania, Kliknij Obciążenie i przejdź do żądanego pliku listy słów, a następnie wybierz go. Wybrane wartości listy słów zostaną pokazane jak podane poniżej.

Opcje

Po skonfigurowaniu parametrów ataku i listy ładunków nadszedł czas, aby skonfigurować bardzo ważną opcję o nazwie „Opcje ”. Na karcie opcje niektóre reguły, które są ustawione, aby poinformować nas, które żądanie odniosły sukces; W naszym przypadku pokaże to, które hasło działało. Musimy tutaj skonfigurować coś, co jest ciągiem lub komunikatem, który zostanie wyświetlony na uzyskanie odpowiedniego hasła, i.mi., Witamy, witaj w naszym portalu, dobrze wrócić itp. To zależy od programisty aplikacji internetowych. Możemy to sprawdzić, wprowadzając wszelkie właściwe poświadczenia w obszarze logowania.

Mamy tutaj „Witamy w Prezydent Protected Area”. Teraz przełącz się na burp w Karta opcji, znajdować Mecz grep, i napisz następujący ciąg tutaj. Sprawdź Prosty ciąg opcja i jesteśmy gotowi iść.

Wszystko jest ładnie skonfigurowane. Teraz musimy tylko rozpocząć atak. Przejdź do zakładki intruder, a następnie kliknij Zacznij atak. Intruz wypróbuje teraz wszystkie możliwe kombinacje z dostarczonych ładunków.

Widzimy intruz próbujący wszystkich kombinacji, takich jak obraz podany powyżej. Możemy zobaczyć, czy żądanie się powiodło, czy nie, patrząc na długość żądań. Udane żądanie miałoby inną długość niż bezstronna. Innym sposobem wiedzy, czy żądanie się powiodło, czy nie, jest spojrzenie na „Witamy w obszarze chronionym hasłem” (i.mi., ciąg, który dostarczyliśmy do Opcje zakładka wcześniej) karta. Jeśli małe pole jest zaznaczone, oznacza to, że żądanie się powiodło i odwrotnie. W naszym przypadku udane żądanie ma długość 4963, podczas gdy jest 4902 w przypadku nieudanego.

Atak brutalnej siły za pomocą BURP, za pomocą potężnego słownika, jest bardzo skuteczną i niedocenianą metodą omijania stron logowania, które nie są stworzone dla złośliwych bytów. W przypadku słabego hasła, używanego, łatwego lub małego hasła, jest to bardzo skuteczna technika.

Fuzzing

Fuzzing to podejście, które służy do automatyzacji procesu odkrywania błędów, słabości lub luk w zabezpieczeniach poprzez wysyłanie tonę żądań do aplikacji z różnymi ładunkami, z oczekiwaniem, że aplikacja internetowa może wywołać czynność czynności. Nie jest to wyraźne dla aplikacji internetowych, ale może być również używane w innych licznych atakach, takich jak bufor, przepełnienie itp. Zdecydowana większość powszechnych luk w sieci można znaleźć poprzez rozmycie, takie jak skrypty krzyżowe XSS, wstrzyknięcie SQL, LFI, RFI itp. Burp jest - naprawdę potężny i jest również najlepszym dostępnym narzędziem - w wykonywaniu pracy.

Rozmycie z burpem

Weźmy aplikację internetową podatną na wstrzyknięcie SQL i rozluźnij ją z BURP, aby znaleźć potencjalnie wrażliwe pola.

Fire Up Burp i zacznij przechwytywać żądanie logowania. Zobaczymy mnóstwo danych, kliknij prawym przyciskiem myszy i kliknij Wyślij do intruza Opcje z danego menu. Idź do Pozycje karta i skonfiguruj właściwe parametry. Domyślnie BURP podkreśla niektóre pola, aby polecać użytkownikowi, jakie pola może zaatakować. Ale w naszym przypadku musimy tylko zmienić wartość nazwa użytkownika I hasło Pola. Najpierw wyczyść wszystkie podświetlone obszary, klikając Jasne przycisk po prawej stronie okna. To wyczyści zalecane bekanie wyróżnionych obszarów. Teraz po prostu zaznacz pól nazwy użytkownika i hasła, a następnie kliknij Dodać. Musimy również określić typ ataku i zmienić go na Snajper.

Teraz przejdź do zakładki ładunku, a tutaj musimy ustawić nasz ładunek, przez który zamierzamy zaatakować te wybrane pola. Ich wartości zostaną zmienione z każdym żądaniem zgodnie z ładunkiem. Skonfigurujmy ładunek dla parametru 1 i parametru 2, i.mi., Odpowiednio nazwa użytkownika i hasła. Beknięcie ma również szeroki zakres swoich ładunków dla różnych rodzajów luk w zabezpieczeniach. Możemy ich używać, utworzyć lub załadować jeden z naszych w łatwym w użyciu interfejsu Burp. W takim przypadku załadujemy Burp's ładunek, który wywoła ostrzeżenie w przypadku znalezienia podatności na SQL.

Wybierać Prosta lista W Typ ładunku opcja. Teraz kliknij opcję ładowania z „Opcje ładowania” okno. Tutaj wybierz Wstrzyknięcie Fuzzing-SQL ładunek z dostępnych opcji. Zestawy ładunku służą do ustalenia listy, której zamierzasz użyć dla określonego parametru. W przypadku, gdy wybierasz dwa wektory ataku (parametry), możesz ustawić alternatywną listę słów dla wszystkich. Podobnie możesz ustawić typ ładunku, jak zmiana przypadków, liczby, daty i tak dalej. W tej sytuacji podstawowa lista jest niezbędna, ponieważ używamy domyślnego ładunku Burp.

Teraz idź do Opcje Tab i możesz zobaczyć kilka bardzo interesujących opcji. Na przykład „Grep ” Opcja, którą można wybrać w celu dopasowania odpowiedzi do podanych słów kluczowych, takich jak „SQL”. Inną fajną opcją jest "Koniec czasu" Opcja, która jest bardzo przydatna w przypadku potencjalnych zapór internetowych. W naszym przypadku sprawdziliśmy opcję „Śledź przekierowanie”, ponieważ w żądaniu mamy parametr przekierowania. Jednak od czasu do czasu błąd może uruchomić dodatkowo przed przekierowaniem, oba następnie można przetestować osobno.

Teraz wszystko jest ładnie skonfigurowane, a intruz Burp jest gotowy do rozpoczęcia ataku. Kliknij opcję Start Attack w lewym rogu i po prostu poczekaj na atak, który dosłownie zajęłoby kilka godzin ręcznie, w ciągu zaledwie minuty lub dwóch. Po zakończeniu ataku musimy tylko dokładnie przeanalizować podane wyniki. Powinniśmy szukać innej lub dziwnej wartości w długość kolumna. Należy również szukać anomalii w kodzie statusu, ponieważ informuje również, które żądanie spowodowało błąd i odwrotnie.

Po uzyskaniu dziwnego kodu statusu lub wartości długości należy sprawdzić odpowiedź okno. W naszym przypadku widzimy, że czwarte żądanie ma inny kod statusu i wyższą wartość długości niż zwykle, a po spojrzeniu na obszar odpowiedzi możemy zobaczyć, że BURP może ominąć obszar logowania za pomocą wartości z ładunku. Atak można uznać za udane.

Jest to bardzo skuteczna technika w procedur testowania nagród i pióra, ponieważ bada każdy parametr obecny w Witrynie i próbuje zrozumieć, co robi, jeśli jest powiązany z bazą danych lub odzwierciedleniem na stronie odpowiedzi, między innymi, między innymi, między innymi na stronie odpowiedzi, między innymi na stronie odpowiedzi, między innymi na stronie odpowiedzi. Ta technika powoduje jednak duży hałas po stronie serwera, a nawet może prowadzić do odmowy usługi, co jest frustrujące dla atakujących, a także dla użytkowników aplikacji internetowych i programistów.

Rozszerzenia burp

Za pomocą BUT -Extender można dodać wiele przydatnych przedłużeń Burp w celu zwiększenia możliwości BURP. Można napisać kod zewnętrzny lub rozszerzenia ładowania. Do ładowania i instalowania rozszerzeń w celu BURP, Bapp Store to miejsce, w którym można się udać. Istnieją różne zastosowania rozszerzeń BURP, takie jak modyfikacja żądań i odpowiedzi HTTP, dostosowanie interfejsu użytkownika, dodanie kontroli skanera i środowiska wykonawczego itp.

Sklep Bapp

Sklep Bapp składa się z rozszerzeń BUT, które zostały skomponowane przez klientów Burp Suite w celu zwiększenia umiejętności i funkcji Burp. Możesz zobaczyć podsumowanie dostępnych Bapps wprowadzonych wyraźnych BAPP i przesłanych ocen klientów dla tych, których wprowadziłeś.

Rozszerzenia burp można również pobrać z Bapp Strona internetowa sklepu i można ją później dodać do Burp. Różne rozszerzenia Bapps lub Bapp są napisane w różnych językach, takich jak Python lub Ruby i oczekują, że użytkownik pobranie Jythona lub Jruby, aby działały poprawnie. Następnie skonfiguruj BURP z katalogiem ważnych tłumaczy językowych. W niektórych przypadkach BAPP może wymagać późniejszej formy burp lub alternatywnej wersji BURP. Spójrzmy na niektóre z ogromnej liczby przydatnych rozszerzeń:

Autoryzuj:

Autoryze jest bardzo skutecznym rozszerzeniem, gdy istnieje potrzeba automatycznego wykrywania luk w zakresie autoryzacji w aplikacji internetowej. Wykrywanie luk w zabezpieczeniach autoryzacji jest bardzo czasochłonnym zadaniem dla każdego łowcy nagród lub pentester. W metodzie ręcznej musisz usuwać pliki cookie za każdym razem z każdego żądania, aby sprawdzić, czy autoryzacja została wdrożona, czy nie. Autoryzuj Czy to zadanie automatycznie po prostu biorąc pliki cookie niskiego uprzywilejowanego użytkownika aplikacji internetowej, a następnie pozwalając, aby bardziej uprzywilejowany użytkownik poruszał się. Autorize robi to, powtarzając każde żądanie z niską uprzywilejowaną sesją użytkownika i rozpoczyna wykrywanie luk lub wad autoryzacji.

Możliwe jest również powtarzanie każdego żądania bez dostarczonych plików cookie, rozpoznawanie wad uwierzytelniania, a także luk w zabezpieczeniach autoryzacji. To rozszerzenie działa bez wcześniejszej konfiguracji, ale jednocześnie jest głęboko dostosowalne, umożliwiając rozmieszczenie ziarnistości warunków autoryzacji zatwierdzenia i żądanie rozszerzenia A konieczność testu i tak dalej.

Po zakończeniu procedury będzie Czerwony zielony, I Żółty kolory na ekranie, pokazując „Omijany ”,„ Egzekwowany ”i„ jest egzekwowany ?? " odpowiednio statusy.

Turbo intruz

Turbo Intruder to zmodyfikowana wersja Burp Intruder i jest używany, gdy istnieje potrzeba ekstremalnej złożoności i prędkości do obsługi żądań HTTP. Turbo Intruder jest szybki, ponieważ używa kodu podawanego stosu HTTP z bazy, priorytetyzując i pamiętając o prędkości. To sprawia, że ​​jest to niezwykle szybkie, a czasem nawet lepsza opcja niż dobrze napisane skrypty Go. Jego skalowalna natura to kolejna atrakcja, która jest spowodowana jego zdolnością do osiągnięcia płaskiej pamięci. Turbo Intruder może również działać w środowisku wiersza poleceń. W tym niesamowitym rozszerzeniu jest zbudowany zaawansowany algorytm różnicowy.

Jednym z głównych ataków, w których można użyć intruzu turbo Ataki stanu rasy. Kiedy system, który został zaprojektowany do wykonywania zadań w określonej sekwencji, jest zmuszony do wykonywania więcej niż jednego zadania na raz, nazywa się to stanem rasy. W tego rodzaju scenariuszu, Turbo intruz jest używany, ponieważ może wykonywać wiele zadań z ogromną prędkością. Ten rodzaj ataku może być używany w istnieniu podatności na stan rasy i może powodować ataki, takie jak odkupienie wielu kart podarunkowych, nadużywanie podobnych/inaczej itp.

Aby wysłać żądanie HTTP do Turbo Intruder, przechwycić żądanie, a następnie kliknij prawym przyciskiem myszy w oknie, a następnie wybierz Wyślij do Turbo Intruder opcja z podanej listy opcji. Turbo Intruder jest nieco trudniejszy w użyciu niż domyślny intruz Burp.

Wniosek:

Burp to niezwykle potężne i bogate narzędzie, którego jedną z jego niesamowitych funkcji i funkcji jest automatyzacja ataków i znalezienie luk w zabezpieczeniach, co ułatwia życie Pentester lub łowcy nagród. Zadania, które mogą wykonać kilka dni, można wykonać w najmniejszym czasie za pomocą BURP, a także zapewnia łatwy graficzny interfejs użytkownika do rozpoczęcia ataków brutalnej siły ze słownikiem lub bez, po prostu poprzez wykonanie listy słów w tej chwili. Z drugiej strony Bapp Store zapewnia niezwykle potężne rozszerzenia, które jeszcze bardziej zwiększa możliwości Apartament Burp.