Статья Уроки по Burp Suite Pro Часть 1. Начало.

5h3ll

Well-Known Member
Премиум
23.01.2018
93
117
#1
Привет Codeby.net,
Покопавшись на форуме в Ресурсах я нашёл чудесный инструмент Burp Suite Pro, однако мануалов на форуме я не нашёл, посему и решил начать цикл статей для новичков.





  • Для примеров я буду использовать официальную версию Burp Suite Pro v. 1.7.31 (для обучения вы можете использовать
    Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
    , функционал там подрезан но для обучения и понимая сути хватит, кстати Burp Suite Community Edition уже предустановленна в Kali 2018.1 )
  • В качестве хост системы будет использованна виртуальная машина(VBox) c
    Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
  • Для того чтобы всё было легально в качестве жертвы будет использованна
    Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
    установленная в качестве второй виртуалке в том же Vbox.
Таким образом мы получим нашу маленькую но очень уютную лабораторию.(Если у кого-то возникнет проблема с установкой и настройкой "лаборатории" дайте знать в комментариях или отпишите мне в личку. При необходимости создам пост с подробным описанием установки и настройки оной .
О том что такое Burp Suite я долго рассказывать не буду описаний в интернете полно. Лично для меня это инструмент с которым я работаю каждый день для тестирования Web-Services & Applications, API и всего что связанно с WEB. Если говорить просто то Burp это как чемоданчик вашего дедушки с помощью которого можно починить, в нашем случае взломать всё что связанно с Web-Application.
Это буде вводная статья где мы рассмотрим установку Burp и настройку браузера для работы с ним.

1. Скачиваем установочный файл с официального сайта
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

2. Далее открываем терминал и переходим в директорию с файлом и прописываем

Код:
java –jar burpsuite*ВерсияПрограммы.jar
1518442383210.png
Если вы используете
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
в Kali 2018.1 то вы можете просто запустит его из меню программ.
3. Далее следуем указанием инстолятора.
1518442449845.png

1518442471652.png

1518442480210.png

Для того чтобы подтвердить вашу лицензию понадобиться подключение к сети.
В случае возникновения проблем воспользуйтесь ручным режимом активации.

1518442562012.png

4. Если всё пройдёт успешно то увидите следующее окно.

1518442589632.png

Ну вот и всё с установкой мы справились.
После установки можно сразу ринуться тестить всех и вся и обнаружить что всё и вся не тестится, причина проста вначале настроить браузер.
Я буду показывать всё на примере браузера Firefox дефолтный для Kali. По умолчанию Burp использует прокси 127.0.0.1:8080. И есть несколько способов как перевести браузер на использование нужного нам прокси.

1. Средствами браузера то есть вам надо перейти в Settings -> Advanced -> Connection Settings -> Manual Proxy configuration. Я буду использовать его так как на этой виртуальной машине я буду работать только с Burp и только буду его использовать только для статей. Если вы используете Burp на своей основой машине то я рекомендую второй способ, ибо постоянно в настройках менять прокси муторно.

1518442895065.png

2. Использовать приложения типа
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
с помощью которого вы можете создать профиль для прокси соединения. Кому как удобно.
Ну теперь можно приступать к запуску.
И так после успешной установки первое что вы увидим будет форма создания проекта. Я выберу временный проект, если планируете тестировать несколько проектов одновременно советую вести катологизацию чтобы потом не запутаться.
1518443358288.png

Мы будем использовать настройки по умолчанию.

1518443376026.png

Ну что же Burp запущен. Я решил не делать описание всех инструментов и вкладок сразу, я буду делать это по ходу уроков.
Самые любопытные могут почитать документацию на
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
документация очень детальная и структурированная.

1518443714451.png

Далее переходим во вкладку Proxy и суб вкладку Intercept. И отключаем его, чтобы принимались шли в автоматическом а не ручном режиме. Теперь мы будем видеть все запросы и ответы проходящие через наш прокси каждый запрос можно посмотреть во вкладке HTTP Proxy.

Теперь с помощью браузера переходим на сайт нашей жертвы или в случае работы с Metasploitble2 на IP адрес виртуальной машины.

1518444018671.png

Если всё настроено правильно то на сайт автоматически отобразиться во вкладке Target.

1518444130837.png
Ну что же первый шаг сделан. В следующей статье мы рассмотрим базовое сканирование, работу с Repeater и Intruder.
Если вам интересны какие то конкретные моменты работы с Burp рад буду ответить.
 

Lisenok

Active Member
02.04.2016
30
4
#2
Будет интересно посмотреть как пользоваться этим инструментом , а то сам только через него брутил что-то в пентест лабе. Желаю хороших статей)
 

5h3ll

Well-Known Member
Премиум
23.01.2018
93
117
#3
Будет интересно посмотреть как пользоваться этим инструментом , а то сам только через него брутил что-то в пентест лабе. Желаю хороших статей)
спасибо, буду стараться.
 

kamaz

Well-Known Member
14.01.2018
74
7
#4
можт есть подобная тулза толь что бы консольноя была,что бы на впс поставить и иметь все плюшки бюрп
 

5h3ll

Well-Known Member
Премиум
23.01.2018
93
117
#5
можт есть подобная тулза толь что бы консольноя была,что бы на впс поставить и иметь все плюшки бюрп
ты не сможешь иметь всё плюшки бурп это не опенсоурс. чтото конечно можно собрать с открытых источников. но хорошей альтернативы бурпу я не знаю.
 
10.06.2016
8
2
#6
Отлично, подскажи а есть модули которые в автомате показывают уязвимости если есть.
 

5h3ll

Well-Known Member
Премиум
23.01.2018
93
117
#7
Отлично, подскажи а есть модули которые в автомате показывают уязвимости если есть.
в Burpe сканер в результате сканирования отображает найденные уязвимости. показывает их описание и результаты запроса.
 

5h3ll

Well-Known Member
Премиум
23.01.2018
93
117
#9
ZAP Proxy от owasp. Только не дает модифицировать пакет (в отличии от бурпа), к сожалению.
можно перебиться но всё же с бурпом не сравнить

---- Добавлено позже ----

https://codeby.net/forum/threads/uroki-po-burp-suite-pro-chast-1-1-laboratorija.62209/

Дополнение к статье о том как установить лабораторию!
 
Последнее редактирование:

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
712
2 459
#12
Порой постоянно ходить в настройки браузера создает не большие неудобства и отнимает кое какое время. Для удобства могу посоветовать различные аддоны для быстрого смены прокси например "ProxySwitcher или FoxyProxy"
1.png
Так же рекомендую создать простенький скрипт запуска бурпа и прописать симлинк или алиас на этот скрипт:
2.png
 

5h3ll

Well-Known Member
Премиум
23.01.2018
93
117
#13
Порой постоянно ходить в настройки браузера создает не большие неудобства и отнимает кое какое время. Для удобства могу посоветовать различные аддоны для быстрого смены прокси например "ProxySwitcher или FoxyProxy"
Так же рекомендую создать простенький скрипт запуска бурпа и прописать симлинк или алиас на этот скрипт:
Привет Codeby.net,
2. Использовать приложения типа
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
с помощью которого вы можете создать профиль для прокси соединения. Кому как удобно.
Определённо, это ускоряет работу и в дальнейшем это просто маст хав.
Скрипт думаю тоже многим будет полезен.

Кстати лично от меня хотел тебе сказать что перечитал кучу твоих статей когда ещё небыл зареган. Отлично пишишь и материал шикарный!!!
 

Remir

Well-Known Member
Премиум
05.11.2017
198
262
#14
Покопавшись на форуме в Ресурсах я нашёл чудесный инструмент Burp Suite Pro
Здесь есть не только версии после реверсинга, но и продемонстрированы некоторые из его возможностей.
 
Симпатии: Понравилось 5h3ll