• Профессиональным авторам. Срочный заказ!

    Необходимо сделать развернутое описание каждой из наших услуг. Ограничений на объем текста нет. ЦА - руководство компаний (сухой технический текст). При отсутствии исполнителей среди участников форума, работа будет передана фрилансерам 10 февраля.

    Подробнее о заказе ...

Статья [1] Burp Suite: Знакомство с основным инструментарием

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 454
4 301
Всем привет! Перед вами вторая статья и цикла Burp Suite. Тестирование web-приложений на проникновение.

Предыдущая часть:

1549212586840.png


Я надеюсь, вы последовали моим рекомендациям и скачали весь необходимый софт:
  • Oracle VirtualBox
  • Mozilla Firefox Browser
  • 7-Zip file archiver
  • Burp Suite - Community or Professional
  • Oracle Java
  • OWASP BWA VM
Так, что не будем терять времени и приступим к активным действиям, в этой статье рассмотрим:
  • Подготовка Burp Suite к работе.
  • Прослушивание HTTP трафика.
  • Знакомство с инструментами Burp Suite.
Подготовка Burp Suite к работе:

В Kali Linux и подобных системах Burp Suite запустить не составит труда, в ОС Windows тоже, если у вас версия Professional + Crack, то следуя инструкции, (они зачастую включены в пак) открываем приложение и выбираем в зависимости от типа лицензии:
  • Если вы используете редакцию Community, вы сможете создать только временный проект. Если вы используете Professional версию, создайте новый проект на диске, сохраняя его в соответствующем месте для вас.
Жмём кнопку "Далее”.

1549212638335.png


Мой Professional немного ограничен (думает, что система x32), как вы видите в предупреждении, но это не страшно - позже исправим.
Далее, используем настройки по умолчанию и стартуем Burp. Позже, мы научимся сохранять файлы настроек и возвращаться к ним по мере необходимости.

1549212672209.png


Прослушивание HTTP трафика:

Burp Suite - описывается, как перехватывающий прокси. Это означает, что Burp находится между веб-браузером пользователя и веб-сервером приложения и перехватывает или задерживает весь поток трафика.
Этот тип поведения обычно называется прокси-сервисом.
Пентестеры используют перехватывающие прокси для захвата трафика, проходящего между веб-браузером и веб-приложением для анализа и манипулирования трафиком и запросами.
Например, тестер может приостановить любой HTTP-запрос, для изменения параметров перед отправкой запроса к веб-серверу.
Перехватывающие прокси, такие как Burp, позволяют тестировщикам перехватывать как HTTP-запросы, так и HTTP ответы. Это позволяет им наблюдать за поведением веб-приложения в разных условиях.

Чтобы увидеть Burp в действии, нам нужно настроить сетевые параметры нашего браузера Firefox так, чтобы они указывали на запущенный экземпляр Burp. Это позволит ему захватывать весь HTTP-трафик, проходящий между вашим браузером и целевым веб-приложением.

Мы настроим Firefox, чтобы Burp прослушивал весь поток HTTP-трафика между браузером и виртуальной машиной OWASP BWA. Это позволит прокси-серверу в Burp захватывать трафик для анализа.
  • Откройте браузер Firefox и перейдите в Параметры.
  • На вкладке «Общие» прокрутите вниз до раздела «Сетевой прокси» и нажмите «Настройки».
  • В настройках подключения выберите «Настройка прокси-сервера вручную» и введите IP-адрес 127.0.0.1 с портом 8080. Выберите «Использовать этот прокси-сервер для всех».
Убеждаемся, что поле «Не использовать прокси для:» пустое и жмем ОК.

1549212717429.png


Запускаем OWASP BWA и Burp Suite, переходим во вкладку Proxy, чтобы убедиться, что трафик успешно проходит через наш прокси:

1549212729094.png


Активация функции Intercept, позволит задержать и отредактировать запрос перед его отправкой на web – сервер:

1549212757879.png

  • В данном выше примере, адрес 192.168.0.114 принадлежит OWASP BWA, я сделал несколько кликов по сайту, чтобы посмотреть на запросы.
  • Включенная функция Intercept, не позволит запросам проходить между браузером и приложением.
Чтобы убедиться, что все работает корректно, перейдем во вкладку Target | Site map, там отобразится вся перехваченная информация:

1549212781949.png


Burp Suite, OWASP BWA и Firefox подготовлены, переходим к следующей части.

Знакомство с инструментами Burp Suite.
  • Понимание работы Message Editor
  • Знакомство с Repeater
  • Работа с Decoder
В этой части, я сделаю обзор на наиболее часто используемые инструменты в Burp Suite. Начнем с определения целевой области для тестирования на карте сайта.
Затем следует введение в Message Editor. Далее рассмотрим различные сценарии с использованием раздела OWASP Mutillidae II, для более детального знакомства с Proxy, Repeater, Decoder и другими инструментами.

Настройка Target Site Map:
Теперь, когда мы оперируем трафиком, проходящим между браузером, Burp и виртуальной машиной OWASP BWA, мы можем приступить к настройке области наших тестов в разделе OWASP Mutillidae II.

Перейдем по ссылке:
  • [your ip]/mutillidae/
При рассмотрении вкладки Target вы увидите, что доступны две вложенные вкладки: Site map и Scope. После первоначальной настройки прокси между вашим браузером, Burp и веб-сервером вы должны получить URL-адреса, папки и файлы, показанные в Target | Site map.
Вы можете найти огромное количество информации, но определение масштаба нашего проекта поможет лучше сфокусировать наше внимание.
Выполняем следующие шаги для установки целевой карты сайта:
Найдите папку mutillidae и добавьте ее в анализируемую область.

1549212818367.png


После добавления папки mutillidae в вашу область может появиться диалоговое окно ведения журнала истории прокси, как показано ниже. Вы можете отказаться от сбора сообщений, нажав Да. Или же вы можете продолжить, чтобы таблица HTTP прокси-сервера продолжала собирать любые сообщения, проходящие через Burp, даже если эти сообщения выходят за пределы указанной вами области. Для наших целей мы выберем Да:

1549212837771.png


Область нашего исследования выглядит следующим образом:

1549212854905.png


Message Editor.

Редактор сообщений отображает подробную информацию о любом сообщении HTTP, проходящем через Proxy. После настройки прокси-сервера для захвата HTTP-трафика, во вкладках Target | Site и Proxy | HTTP, вы можете выбрать любое сообщение, чтобы открыть его в редакторе. Каждый редактор содержит стороны Request и Response, при условии, что сообщение правильно проксируется через Burp.
Редактор сообщений позволяет просматривать и редактировать HTTP-запросы и ответы.
В нем есть несколько вложенных вкладок. Вложенные вкладки для сообщения Request, как минимум, включают следующее:
  • Raw
  • Headers
  • Hex
Вкладки для сообщения Response содержат:
  • Raw
  • Headers
  • Hex
  • HTML (иногда)
  • Render (иногда)
На вкладке «Raw» отображается сообщение в необработанном виде. Вкладка «Headers» отображает параметры заголовка HTTP в табличном формате. Параметры доступны для редактирования, а столбцы могут быть добавлены, удалены или изменены в таблице в таких инструментах, как Proxy и Repeater.
Для запросов, содержащих параметры или файлы cookie, имеется вкладка «Params». Параметры доступны для редактирования, и столбцы можно добавлять, удалять или изменять в таблице с помощью таких инструментов, как Proxy и Repeater.
Наконец, есть вкладка «Hex», которая представляет сообщение в шестнадцатеричном формате; по сути, это шестнадцатеричный редактор. Вам разрешено редактировать отдельные байты в таких инструментах, как Proxy и Repeater, но эти значения должны быть заданы в шестнадцатеричной форме с двумя цифрами, от 00 до FF.

Вот, как это выглядит на примере:

1549212879651.png


Работа с Repeater.

Repeater позволяет вносить изменения в запрос, мы его видим в левом окне. Каждое сообщение из перехваченного нами трафика, можно модифицировать в Repeater и отправить повторно, что и понятно из названия инструмента.

1549212900172.png


Кнопка Go отправляет запрос приложению, а ответ отображается в правом окне.
Request включает в себя Raw, Params (для запросов с параметрами или файлами cookie), Headers и Hex.
Детали, относящиеся к HTTP-ответу, включают в себя стандартные Raw, Headers, Hex, а иногда и HTML и Render.
Внизу каждой панели находится текстовое поле поиска, позволяющее тестеру быстро найти значение, присутствующее в сообщении.

1549212919332.png


Работа с Decoder.

Burp Decoder - это инструмент, который позволяет тестеру преобразовывать необработанные данные в закодированные данные или извлекать закодированные данные и преобразовывать их обратно в обычный текст.
Декодер поддерживает несколько форматов, включая URL-кодирование, HTML-кодирование, кодирование Base64, двоичный код, хэшированные данные и другие. Декодер также включает в себя встроенный шестнадцатеричный редактор.
По ходу проведения тестирования на проникновение, тестировщику часто могут попадаться закодированные значения. Декодер знатно упрощает в этом плане, нам жизнь, позволяя отправлять в него закодированное значение и использовать различные функции декодирования.
Попробуем декодировать значение токена сеанса PHPSESSID, найденного в приложении OWASP Mutillidae II.

Когда мы переходим по ссылке:
  • [your ip]/mutillidae/
Нам, как пользователю будет назначен PHPSESSID cookie. Значение PHPSESSID представляется зашифрованным и затем упакованным в base 64. Используя Decoder, мы можем развернуть значение.
Выделите значение PHPSESSID, щелкните правой кнопкой мыши и выберите «Отправить в декодер»:

1549213058348.png


Можем декодировать и кодировать данные, как нам заблагорассудится, в рамках предоставленного инструментария:

1549213075257.png


На этом, пока, остановимся, можно потренироваться с редактированием запросов, освоится в работе Burp и посмотреть примеры работы с этими инструментами, дополнительно в сети.
В следующей части, продолжим осваивать основные инструменты Burp Suite, а затем перейдем к практическому их применению.
Специально для CODEBY.NET
 
Последнее редактирование:
Linnni

Linnni

Member
05.01.2019
11
1
Ура! Скорее бы продолжение
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vander
C

cryhack

Member
18.04.2018
20
5
Практически бесполезно даже для новичков, ибо эта и подобная info есть в google, при самом простом запросе "settings burp suite".
Ну посмотрим, что будет дальше, действительно, более менее оригинального.
 
Последнее редактирование модератором:
  • Нравится
Реакции: moeimya
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 454
4 301
Практически бесполезно даже для новичков, ибо эта и подобная инфа есть в google, при самом простом запросе "settings burp suite". Ну посмотрим, что будет дальше, действительно, более менее оригинального.
Уже подбираемся к реализациям атак.
 
jonni80

jonni80

Active member
24.06.2017
39
6
Очень жду продолжения статей в цикле Burp Suite
 
Последнее редактирование модератором:
Strongust

Strongust

Member
18.09.2018
24
-4
Firefox пишет "Соединение не установлено: Вероятная угроза безопасности" и ни один сайт не перехватывает, прокси указаны в настройках и браузера и в Burp Suite, с хромом аналогичные траблы. Как завести Burp Suite?
 
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
Firefox пишет "Соединение не установлено: Вероятная угроза безопасности" и ни один сайт не перехватывает, прокси указаны в настройках и браузера и в Burp Suite, с хромом аналогичные траблы. Как завести Burp Suite?
проблема с сертификатом бро, заходишь с включеным Burp на сайт тыкаешь на CA скачиваешь сертификат, потом в настройках браузера устанавливаешь его и все ок) Только интерцепт отключи пока будешь сертификат.
 
  • Нравится
Реакции: AdukAd и Strongust
S

Sergi123

Премиум
14.01.2019
20
3
добрый день, можете проверить ссылку на сертификат, она ведет уже в никуда, можете подсказать откуда скачать сертификат
 
fuzzz

fuzzz

Red Team
03.02.2019
180
318
добрый день, можете проверить ссылку на сертификат, она ведет уже в никуда, можете подсказать откуда скачать сертификат
заходишь с включеным Burp на сайт тыкаешь на CA скачиваешь сертификат, потом в настройках браузера устанавливаешь его и все ок) Там же выше написано как сделать
 
  • Нравится
Реакции: AdukAd
Strongust

Strongust

Member
18.09.2018
24
-4
проблема с сертификатом бро, заходишь с включеным Burp на сайт тыкаешь на CA скачиваешь сертификат, потом в настройках браузера устанавливаешь его и все ок) Только интерцепт отключи пока будешь сертификат.
На фф установился норм все бегает, на хром каждый раз при обращении к сайту спрашивает вы точно хотите обратиться, небезопасный сайт, тыкаешь да хочу обращается тогда, это на хроме для каждого сайта нужно тыкать, что соглашаюсь? фф таких вопросов не задает, все ровно, может в хроме где то галку поставить?
 
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
На фф установился норм все бегает, на хром каждый раз при обращении к сайту спрашивает вы точно хотите обратиться, небезопасный сайт, тыкаешь да хочу обращается тогда, это на хроме для каждого сайта нужно тыкать, что соглашаюсь? фф таких вопросов не задает, все ровно, может в хроме где то галку поставить?
хз если честно с хромом не использовал, но может попробовать поставить низкий уровень безопасности в хроме.
 
S

Sergi123

Премиум
14.01.2019
20
3
спс разобрался но лучше посмотреть видео из ютуба, там все расписано по полочкам
 
Z

zhalkhas

New member
01.04.2019
1
0
На фф установился норм все бегает, на хром каждый раз при обращении к сайту спрашивает вы точно хотите обратиться, небезопасный сайт, тыкаешь да хочу обращается тогда, это на хроме для каждого сайта нужно тыкать, что соглашаюсь? фф таких вопросов не задает, все ровно, может в хроме где то галку поставить?
У FIrefox своя база сертификатов, поэтому он не ругается после добавления в нем, а Хром вроде юзает system-wide settings, возможно проблема в этом
 
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
У FIrefox своя база сертификатов, поэтому он не ругается после добавления в нем, а Хром вроде юзает system-wide settings, возможно проблема в этом
ну так и у Firefox по умолчанию стоит использовать настройки системы
 
Мы в соцсетях: