Uso de Burp para ataques automatizados

Jacobo Piña
Uso de Burp para ataques automatizados

Buque de eructo

BURP Suite es una herramienta de ataque de aplicaciones web con funciones ricas diseñada por Puerto. Está equipado con todo lo necesario para realizar un Pentest exitoso en una aplicación web. BURP es el probador y escáner de aplicaciones web más utilizados del mundo, con más de 40,000 usuarios activos, debido a su interfaz y profundidad fáciles de usar. Ya es una aplicación web increíble que se acumula con capacidades que pueden aumentar aún más al agregar extensiones o complementos llamados Bapps.

Eructo Las características principales son las siguientes:

  • La capacidad de interceptar solicitudes HTTP que normalmente pasan del navegador al servidor, y luego el servidor devuelve la respuesta. Esto se hace por su característica central llamada "Interceptando proxy ". Aquí la solicitud se interrumpe a mitad de camino y va del navegador del usuario a eructo, y luego el servidor.
  • La capacidad de mapear el objetivo, yo.mi., aplicación web utilizando el "Araña" herramienta. Esto se hace para obtener la lista de puntos finales y arrastrarlos a través de ellos para encontrar algunas vulnerabilidades en ellos.
  • Una herramienta de aplicación web de escaneo avanzada para automatizar tareas de detección de vulnerabilidades en el objetivo (disponible solo en la versión Pro).
  • Un "Intruso" La herramienta se utiliza para ataques automatizados como la página de inicio de sesión de una aplicación web, ataques de diccionario, fuzzando la aplicación web para encontrar vulnerabilidades, etc.
  • A "Reloj de repetición" Herramienta utilizada para manipular los valores o solicitudes proporcionados por el usuario, y observar su comportamiento para encontrar vectores potencialmente vulnerables.
  • A "Secuenciador" herramienta para probar tokens de sesión.
  • A "Descifrador" Herramienta para decodificar y codificar numerosos esquemas de codificación como Base64, Hex, etc.
  • La capacidad de guardar el trabajo y reanudar más tarde (disponible solo en la versión Pro).

Instalación

Eructar Suite se puede descargar desde el sitio web oficial de Portswigger:

https: // Portswigger.net/burp/comunitarydownload.

BURP está disponible para descargar para casi todos los sistemas operativos, incluidos Windows, Linux y MacOS. Al hacer clic en la opción de descarga de la última versión, será redirigido a una página de descarga con diferentes ediciones y sistemas operativos, yo.mi., Edición comunitaria o Edición profesional. Professional Edition se paga con precios escritos en su sitio web oficial. Descargue la edición comunitaria y está listo para usar sus características increíbles básicas.

Uso

Para usar Eructar, Debe configurarse para interceptar las solicitudes HTTP. Para configurar los navegadores, yo.mi., Chrome, Firefox, etc., Tenemos que seguir los pasos que se dan a continuación:

Para configurar Chrome para trabajar con Burp

Para configurar Chrome para trabajar con un eructo, primero, haga clic en el Personalizar opción en la esquina superior derecha de la ventana, luego vaya a la Ajustes opción. En la ventana Configuración, elija Ajustes avanzados, y luego haga clic en Cambiar la configuración de proxy De las opciones dadas.

Para configurar Firefox para trabajar con Burp

Para configurar Firefox para trabajar con un eructo, vaya a la Menú de Firefox En la esquina superior derecha de la ventana, haga clic en el Preferencias opción, luego ve al Opción botón. Aquí, busca Proxy de red en el General pestaña. Haga clic en el Configuración de proxy manual. Ingrese la dirección del oyente, yo.mi., 127.0.0.1, y el puerto de eructo, yo.mi., 8080. Eliminar todo en el "No hay poder para " campo, y estás listo para ir.

Ataque de fuerza bruta usando Burp

La autenticación es el proceso de asegurarse de que la persona adecuada esté accediendo al servicio o la persona adecuada está iniciando sesión, utilizando diferentes técnicas como tokens de acceso, contraseñas, claves, etc. El uso de contraseñas es muy común en la vida cotidiana. Aquí viene la importancia de la autenticación básica, yo.mi., La elección de una contraseña compleja sólida, porque se puede acceder fácilmente al área de inicio de sesión protegida con la autenticación débil utilizando ataques automatizados como el forzamiento bruto, los ataques de diccionario.

El ataque del diccionario es un ataque de fuerza bruta en un campo de inicio de sesión con la ayuda de un diccionario. En este ataque, cientos de miles de combinaciones posibles de contraseñas adivinadas almacenadas en un diccionario se prueban en el campo de inicio de sesión, con la intención de que una de ellas pueda funcionar. Estas contraseñas se intentan sucesivamente en el campo de inicio de sesión para evitar la autenticación.

Consideremos un escenario en el que tenemos que forzar una página de inicio de sesión utilizando un diccionario o una lista de palabras que contiene cientos de miles o millones de contraseñas comúnmente filtradas.

Abra la suite Burp y comience a interceptar el tráfico girando Interceptar sobre. Cambie al navegador e ingrese cualquier nombre de usuario o contraseña en los campos dados, luego haga clic en Iniciar sesión. Ahora cambie a Eructar, Verá que el tráfico ha sido interceptado a mitad de camino yendo al servidor y va a eructar en su lugar. Haga clic derecho y elija, Enviar al intruso De las opciones dadas.

Ahora, cambie a Intruso pestaña, y veremos múltiples pestañas, yo.mi., Posiciones, cargas útiles, opciones. Tenemos que configurar todas las opciones en estas pestañas correctamente para dejar que el eructo haga su trabajo y obtener nuestro resultado deseado.

Posición

Veamos primero la pestaña Positions. Aquí, le decimos al eructo los parámetros que queremos atacar en la solicitud, yo.mi., campo de contraseña, campo de nombre de usuario, etc.

Por defecto, BURP destaca algunos campos para recomendar al usuario qué campos puede atacar. Pero en nuestro caso, solo necesitamos cambiar el valor del nombre de usuario y contraseña campos, para que se cambien con la siguiente palabra en el diccionario, a través del cual estamos atacando en cada solicitud. Para esto, primero debemos borrar todas las áreas resaltadas haciendo clic en el Claro botón en el lado derecho de la ventana. Esto aclarará las áreas destacadas recomendadas de Burp. Ahora, resalte los campos de nombre de usuario y contraseña, que son "NO EXISTE" En nuestro caso, y luego haga clic Agregar. También necesitamos especificar el tipo de ataque, que es francotirador, de forma predeterminada y cambiarlo a Bomba de clúster.

Cargas útiles

Ahora, tenemos que establecer nuestra carga útil a través de la cual vamos a atacar estos campos seleccionados. Sus valores se cambiarán con cada solicitud de acuerdo con la carga útil. Configurar una carga útil para el parámetro 1, yo.mi., Campo de nombre de usuario. Agreguemos una pequeña lista de palabras de los nombres de usuario que tenemos en un archivo. Haga clic en la carga útil 1 y elija el tipo de carga útil como Lista simple. En Opción de carga útil, hacer clic Carga y vaya a su archivo de lista de palabras deseado, luego seleccione. Los valores de la lista de palabras seleccionadas se mostrarán como se da a continuación.

Ahora, al configurar una carga útil para el parámetro 2, yo.mi., El campo de contraseña, agregamos una lista de palabras de uso común de contraseñas filtradas, I.mi., "Rockearte.TXT" Desde nuestro caso, tenemos esto en un archivo. Haga clic en la carga útil 2 y elija el tipo de carga útil como Lista simple. En Opción de carga útil, hacer clic Carga y vaya a su archivo de lista de palabras deseado, luego seleccione. Los valores de la lista de palabras seleccionadas se mostrarán como se da a continuación.

Opción

Después de configurar los parámetros de ataque y la lista de carga útil, es hora de configurar una opción muy importante llamada "Opciones ". En la pestaña Opciones, algunas reglas que están configuradas para decirnos qué solicitud es exitosa; En nuestro caso, dirá qué contraseña funcionó. Tenemos que configurar una cosa aquí, que es la cadena o mensaje que se mostrará para obtener la contraseña correcta, yo.mi., Bienvenido, bienvenido a nuestro portal, bueno para volver, etc. Depende del desarrollador de aplicaciones web. Podemos verificarlo ingresando las credenciales correctas en el área de inicio de sesión.

Tenemos "Bienvenido al administrador del área protegida con contraseña" aquí. Ahora, cambie a Burp en el Pestaña de opciones, encontrar Partido GreP, y escriba la siguiente cadena aquí. Comprobar el Cadena simple opción, y estamos listos para ir.

Todo está bien configurado. Ahora, todo lo que tenemos que hacer es comenzar el ataque. Vaya a la pestaña Intruder y luego haga clic en Inicio Ataque. Un intruso ahora intentará todas las combinaciones posibles de las cargas útiles proporcionadas.

Podemos ver al intruso intentando todas las combinaciones como la imagen dada arriba. Podemos ver si la solicitud es exitosa o no mirando la longitud de las solicitudes. La solicitud exitosa sería de una longitud diferente a la no exitosa. Otra forma de saber si la solicitud es exitosa o no es observar el "Área protegida de Bienvenido a la contraseña" (I.mi., la cadena que hemos proporcionado al Opción pestaña antes) pestaña. Si la casilla pequeña está marcada, significa que la solicitud es exitosa y viceversa. En nuestro caso, la solicitud exitosa tiene una longitud 4963, mientras que es 4902 en el caso de una fallida.

El ataque de la fuerza bruta usando Burp, con la ayuda de un poderoso diccionario, es un método muy efectivo y subestimado para pasar por alto las páginas de inicio de sesión, que no están hechas para entidades maliciosas. En caso de una contraseña débil, una contraseña usada, fácil o pequeña, esta es una técnica muy efectiva.

Peludo

La fuzzing es un enfoque que se utiliza para automatizar el proceso de descubrir errores, debilidades o vulnerabilidades enviando una tonelada de solicitudes a una aplicación con varias cargas útiles, con la expectativa de que la aplicación web podría desencadenar una actividad de actividad. No es explícito para las aplicaciones web, pero también se puede usar en otros numerosos ataques como búfer, desbordamiento, etc. Se puede encontrar una gran mayoría de las vulnerabilidades web comunes a través de fuzzing como SCPTing de sitios cruzados de XSS, inyección SQL, LFI, RFI, etc. Burp es realmente poderoso y también es la mejor herramienta disponible, para hacer el trabajo sin problemas.

Fuzzing con eructo

Tomemos una aplicación web vulnerable a la inyección de SQL y la fuzzemos con Burp para encontrar campos potencialmente vulnerables.

Dispara eructo y comienza a interceptar la solicitud de inicio de sesión. Veremos un montón de datos, haga clic con el botón derecho y haga clic en el Enviar al intruso Opciones del menú dado. Ve a la Posición pestaña y configure los parámetros correctos. Por defecto, BURP destaca algunos campos para recomendar al usuario qué campos puede atacar el usuario. Pero en nuestro caso, solo necesitamos cambiar el valor de nombre de usuario y contraseña campos. Primero, borre todas las áreas resaltadas haciendo clic en el Claro botón en el lado derecho de la ventana. Esto eliminará las áreas destacadas recomendadas de Burp. Ahora, solo resalte los campos de nombre de usuario y contraseña, y luego haga clic en Agregar. También necesitamos especificar el tipo de ataque y cambiarlo a Francotirador.

Ahora, vaya a la pestaña de cargas útiles y, aquí, tenemos que establecer nuestra carga útil a través de la cual vamos a atacar estos campos seleccionados. Sus valores se cambiarán con cada solicitud de acuerdo con la carga útil. Configurar una carga útil para el parámetro 1 y el parámetro 2, i.mi., Campos de nombre de usuario y contraseña, respectivamente. Eructar también tiene una amplia gama de sus cargas útiles para diferentes tipos de vulnerabilidades. Podemos usarlos o crear o cargar uno de los nuestros en la interfaz fácil de usar de BURP. En este caso, vamos a cargar Eructo carga útil que activará una alerta en caso de encontrar una vulnerabilidad SQL.

Seleccionar Lista simple en Tipo de carga útil opción. Ahora, haga clic en la opción de carga desde el "Opciones de carga útil" ventana. Aquí, seleccione Inyección de Fuzzing-SQL carga útil de las opciones disponibles. Los conjuntos de carga útil se utilizan para calcular la lista que está a punto de usar para un parámetro especificado. En el caso en que elija dos vectores de ataque (parámetros), puede establecer una lista de palabras alternativa para todos. Del mismo modo, puede establecer el tipo de carga útil como alteración de casos, números, fechas, etc. Para esta situación, la lista básica es vital ya que estamos utilizando la carga útil predeterminada de BURP.

Ahora, ve al Opción pestaña, y puede ver algunas opciones muy interesantes. Por ejemplo, el "Grep " Opción que se puede seleccionar para que coincida con la respuesta a las palabras clave dadas como "SQL". Otra opción genial es la "Se acabó el tiempo" Opción que es muy útil en caso de firewalls de aplicaciones web potenciales. En nuestro caso, verificamos la opción "Sigue la redirección" ya que tenemos un parámetro de redirección en la solicitud. Sin embargo, de vez en cuando, el error puede activarse adicionalmente antes de la redirección, ambos pueden probarse por separado.

Ahora, todo está bien configurado, y el intruso de Burp está listo para comenzar el ataque. Haga clic en la opción de ataque de inicio en la esquina izquierda y solo espere el ataque, que literalmente tomaría horas manualmente para completarse, en solo un minuto o dos. Una vez que se completa el ataque, todo lo que tenemos que hacer es analizar de cerca los resultados dados. Deberíamos buscar un valor diferente o impar en el longitud columna. Uno debe buscar anomalías en el código de estado también, ya que también indica qué solicitud causó un error y viceversa.

Al obtener un código de estado impar o un valor de longitud, uno tiene que verificar el respuesta ventana. En nuestro caso, podemos ver que la cuarta solicitud tiene un código de estado diferente y un valor de mayor longitud de lo habitual, y al observar el área de respuesta, podemos ver que Burp puede evitar el área de inicio de sesión utilizando un valor de la carga útil. El ataque puede considerarse como exitoso.

Esta es una técnica muy efectiva en los procedimientos de prueba de la generos de errores y la prueba de pluma, ya que investiga todos los parámetros presentes en el sitio e intenta comprender lo que hace, si está conectado con una base de datos o se refleja en la página de respuesta, entre otros, entre otros, entre otros, entre otros. Sin embargo, esta técnica causa mucho ruido al lado del servidor e incluso puede conducir a la negación del servicio, lo que es frustrante para los atacantes, así como para los usuarios y desarrolladores de aplicaciones web.

Extensiones de erupción

Con la ayuda de Burp Extender, se pueden agregar numerosas extensiones de eructos útiles para mejorar las capacidades de BURP. Uno puede escribir su código de terceros o sus extensiones de carga. Para cargar e instalar extensiones para eructar, Bapp La tienda es el lugar para ir. Hay varios usos para las extensiones de BURP, como modificar las solicitudes y la respuesta HTTP, personalizar la interfaz de usuario, agregar verificaciones de escáner y tiempo de ejecución, etc.

Tienda de bapp

La tienda Bapp consta de extensiones de Burp que han sido compuestas por clientes de BURP Suite para mejorar las habilidades y características de BURP. Puede ver el resumen de los Bapps accesibles introducidos BAPPS explícitos y las calificaciones de los clientes presentadas para aquellos que ha introducido.

Burp Extensions también se puede descargar desde el Bapp Sitio web de la tienda y se puede agregar a Burp más adelante. Las diferentes extensiones de Bapps o Bapp se escriben en diferentes idiomas como Python o Ruby y esperan que el usuario descargue Jython o Jruby para que funcionen correctamente. Luego configure eructo con el directorio de los importantes intérpretes de lenguaje. En algunos casos, un BAPP puede requerir una forma posterior de eructo o una versión alternativa de Burp. Veamos algunas de la enorme cantidad de extensiones útiles de Burp:

Autorizar:

Autorize es una extensión muy efectiva cuando se necesita detectar vulnerabilidades de autorización en una aplicación web automáticamente. Detección de vulnerabilidades de autorización es una tarea que requiere mucho tiempo para cualquier cazador de errores o Pentester. En el método manual, debe eliminar las cookies cada vez de cada solicitud para verificar si la autorización se ha implementado o no. Autorizar ¿Este trabajo automáticamente simplemente tomando cookies de un usuario de bajo privilegiado de una aplicación web y luego dejando que el usuario más privilegiado lo navegue por. Autorize hace esto repitiendo cada solicitud con una sesión de usuario de bajo privilegiado y comienza a detectar vulnerabilidades o defectos de autorización.

También es concebible repetir cada solicitud sin cookies proporcionadas, para reconocer fallas de autenticación, así como vulnerabilidades de autorización. Esta extensión funciona sin ninguna configuración previa, pero al mismo tiempo es profundamente adaptable, lo que permite la disposición de la granularidad de las condiciones de autorización de aprobación y solicitando que la extensión sea una prueba obligada y otras cosas.

Al completar el procedimiento, habrá Rojo verde, y Amarillo colores en la pantalla, mostrando "Omitido "," aplicado "y" se aplica ?? " estados respectivamente.

Turbo intruso

Turbo Intruder es una versión modificada de Intruso de eructo y se usa cuando se necesita una complejidad y velocidad extremas para manejar las solicitudes HTTP. Turbo Intruder es rápido, ya que utiliza un código de la base de la pila HTTP de la base, priorizando y teniendo en cuenta la velocidad. Esto lo hace extremadamente rápido y, a veces, incluso una mejor opción que los scripts de Go bien escritos. Su naturaleza escalable es otro punto destacado, que se debe a su capacidad para lograr el uso de memoria plana. Turbo Intruder también puede ejecutarse en un entorno de línea de comandos. Se construye un algoritmo de difusión avanzado en esta impresionante extensión, que filtra automáticamente una salida aburrida e inútil.

Uno de los principales ataques en los que se puede usar el turbo intruso es Ataques de condición de raza. Cuando un sistema que ha sido diseñado para realizar tareas en una secuencia específica se ve obligado a realizar más de una tarea a la vez, se llama condición de carrera. En ese tipo de escenario, Turbo intruso se usa, ya que puede realizar múltiples tareas con enorme velocidad. Este tipo de ataque se puede usar en la existencia de la vulnerabilidad de la condición de la carrera y puede causar ataques como redimir múltiples cartas de regalo, abusar de características similares/diferentes, etc.

Para enviar la solicitud HTTP al turbo intruso, interceptar la solicitud y luego hacer clic con el botón derecho en la ventana, luego seleccione el Enviar al turbo intruso opción de la lista dada de opciones. Turbo Intruder es un poco más difícil de usar que el intruso predeterminado de Burp.

Conclusión:

Burp es una herramienta extremadamente poderosa y de características ricas cuya una de sus increíbles funciones y características es automatizar los ataques y encontrar vulnerabilidades, lo que hace que la vida sea más fácil para un Pentester o un cazador de bug. Las tareas que pueden llevar días manualmente se pueden hacer en el mínimo tiempo usando Burp, y también proporciona una interfaz de usuario gráfica fácil para lanzar ataques de fuerza bruta con o sin un diccionario, solo haciendo la lista de palabras en este momento en este momento. Por otro lado, el Bapp la tienda proporciona extensiones extremadamente potentes que mejoran aún más las capacidades de Buque de eructo.

golang
Cómo recortar una cadena en Golang
El recorte de cadenas es un proceso de eliminación de espacios o caracteres adicionales desde el pri...
Jacobo Piña
c agudo
¿Cuál es la diferencia entre int y double en c#?
Los enteros (int) son números enteros, lo que significa que no tienen puntos decimales. Los dobles (...
Andrés Barrientos
golang
¿Qué es una clase y un objeto en Golang??
Go no tiene clases u objetos en el sentido clásico; en su lugar, usa estructuras e interfaces. Este ...
José Luis Villagómez
Pitón
Cómo descomponer los archivos en Python
Mayte Mesa
Pitón
Convertir cadena para configurar python
José Luis Villagómez
Base de datos Oracle
¿Oracle Fusion se considera mejor que SAP??
José Luis Villagómez
Base de datos Oracle
¿Qué tipo de base de datos es Oracle Top 10G??
Salvador Anaya
html
¿Cómo se puede utilizar Flexbox para crear una barra de navegación??
Hernán Delao
AWS
Cómo EC2 es diferente de la talla elástica de frijoles?
Pilar Melgar
AWS
¿Por qué debería usar organizaciones de AWS??
Jacobo Piña
c agudo
Cómo se usa el operador lambda '=>' en C#
Mariana Cotto
c agudo
Romper y continuar las declaraciones en C#
Pilar Alemán
php
Cómo usar la función PHP RAND
Lorenzo Morales