• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья [1] Burp Suite: Знакомство с основным инструментарием

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Всем привет! Перед вами вторая статья и цикла Burp Suite. Тестирование web-приложений на проникновение.

Предыдущая часть:

[1] Burp Suite: Знакомство с основным инструментарием


Я надеюсь, вы последовали моим рекомендациям и скачали весь необходимый софт:
  • Oracle VirtualBox
  • Mozilla Firefox Browser
  • 7-Zip file archiver
  • Burp Suite - Community or Professional
  • Oracle Java
  • OWASP BWA VM
Так, что не будем терять времени и приступим к активным действиям, в этой статье рассмотрим:
  • Подготовка Burp Suite к работе.
  • Прослушивание HTTP трафика.
  • Знакомство с инструментами Burp Suite.
Подготовка Burp Suite к работе:

В Kali Linux и подобных системах Burp Suite запустить не составит труда, в ОС Windows тоже, если у вас версия Professional + Crack, то следуя инструкции, (они зачастую включены в пак) открываем приложение и выбираем в зависимости от типа лицензии:
  • Если вы используете редакцию Community, вы сможете создать только временный проект. Если вы используете Professional версию, создайте новый проект на диске, сохраняя его в соответствующем месте для вас.
Жмём кнопку "Далее”.

[1] Burp Suite: Знакомство с основным инструментарием


Мой Professional немного ограничен (думает, что система x32), как вы видите в предупреждении, но это не страшно - позже исправим.
Далее, используем настройки по умолчанию и стартуем Burp. Позже, мы научимся сохранять файлы настроек и возвращаться к ним по мере необходимости.

[1] Burp Suite: Знакомство с основным инструментарием


Прослушивание HTTP трафика:

Burp Suite - описывается, как перехватывающий прокси. Это означает, что Burp находится между веб-браузером пользователя и веб-сервером приложения и перехватывает или задерживает весь поток трафика.
Этот тип поведения обычно называется прокси-сервисом.
Пентестеры используют перехватывающие прокси для захвата трафика, проходящего между веб-браузером и веб-приложением для анализа и манипулирования трафиком и запросами.
Например, тестер может приостановить любой HTTP-запрос, для изменения параметров перед отправкой запроса к веб-серверу.
Перехватывающие прокси, такие как Burp, позволяют тестировщикам перехватывать как HTTP-запросы, так и HTTP ответы. Это позволяет им наблюдать за поведением веб-приложения в разных условиях.

Чтобы увидеть Burp в действии, нам нужно настроить сетевые параметры нашего браузера Firefox так, чтобы они указывали на запущенный экземпляр Burp. Это позволит ему захватывать весь HTTP-трафик, проходящий между вашим браузером и целевым веб-приложением.

Мы настроим Firefox, чтобы Burp прослушивал весь поток HTTP-трафика между браузером и виртуальной машиной OWASP BWA. Это позволит прокси-серверу в Burp захватывать трафик для анализа.
  • Откройте браузер Firefox и перейдите в Параметры.
  • На вкладке «Общие» прокрутите вниз до раздела «Сетевой прокси» и нажмите «Настройки».
  • В настройках подключения выберите «Настройка прокси-сервера вручную» и введите IP-адрес 127.0.0.1 с портом 8080. Выберите «Использовать этот прокси-сервер для всех».
Убеждаемся, что поле «Не использовать прокси для:» пустое и жмем ОК.

[1] Burp Suite: Знакомство с основным инструментарием


Запускаем OWASP BWA и Burp Suite, переходим во вкладку Proxy, чтобы убедиться, что трафик успешно проходит через наш прокси:

[1] Burp Suite: Знакомство с основным инструментарием


Активация функции Intercept, позволит задержать и отредактировать запрос перед его отправкой на web – сервер:

[1] Burp Suite: Знакомство с основным инструментарием

  • В данном выше примере, адрес 192.168.0.114 принадлежит OWASP BWA, я сделал несколько кликов по сайту, чтобы посмотреть на запросы.
  • Включенная функция Intercept, не позволит запросам проходить между браузером и приложением.
Чтобы убедиться, что все работает корректно, перейдем во вкладку Target | Site map, там отобразится вся перехваченная информация:

[1] Burp Suite: Знакомство с основным инструментарием


Burp Suite, OWASP BWA и Firefox подготовлены, переходим к следующей части.

Знакомство с инструментами Burp Suite.
  • Понимание работы Message Editor
  • Знакомство с Repeater
  • Работа с Decoder
В этой части, я сделаю обзор на наиболее часто используемые инструменты в Burp Suite. Начнем с определения целевой области для тестирования на карте сайта.
Затем следует введение в Message Editor. Далее рассмотрим различные сценарии с использованием раздела OWASP Mutillidae II, для более детального знакомства с Proxy, Repeater, Decoder и другими инструментами.

Настройка Target Site Map:
Теперь, когда мы оперируем трафиком, проходящим между браузером, Burp и виртуальной машиной OWASP BWA, мы можем приступить к настройке области наших тестов в разделе OWASP Mutillidae II.

Перейдем по ссылке:
  • [your ip]/mutillidae/
При рассмотрении вкладки Target вы увидите, что доступны две вложенные вкладки: Site map и Scope. После первоначальной настройки прокси между вашим браузером, Burp и веб-сервером вы должны получить URL-адреса, папки и файлы, показанные в Target | Site map.
Вы можете найти огромное количество информации, но определение масштаба нашего проекта поможет лучше сфокусировать наше внимание.
Выполняем следующие шаги для установки целевой карты сайта:
Найдите папку mutillidae и добавьте ее в анализируемую область.

[1] Burp Suite: Знакомство с основным инструментарием


После добавления папки mutillidae в вашу область может появиться диалоговое окно ведения журнала истории прокси, как показано ниже. Вы можете отказаться от сбора сообщений, нажав Да. Или же вы можете продолжить, чтобы таблица HTTP прокси-сервера продолжала собирать любые сообщения, проходящие через Burp, даже если эти сообщения выходят за пределы указанной вами области. Для наших целей мы выберем Да:

[1] Burp Suite: Знакомство с основным инструментарием


Область нашего исследования выглядит следующим образом:

[1] Burp Suite: Знакомство с основным инструментарием


Message Editor.

Редактор сообщений отображает подробную информацию о любом сообщении HTTP, проходящем через Proxy. После настройки прокси-сервера для захвата HTTP-трафика, во вкладках Target | Site и Proxy | HTTP, вы можете выбрать любое сообщение, чтобы открыть его в редакторе. Каждый редактор содержит стороны Request и Response, при условии, что сообщение правильно проксируется через Burp.
Редактор сообщений позволяет просматривать и редактировать HTTP-запросы и ответы.
В нем есть несколько вложенных вкладок. Вложенные вкладки для сообщения Request, как минимум, включают следующее:
  • Raw
  • Headers
  • Hex
Вкладки для сообщения Response содержат:
  • Raw
  • Headers
  • Hex
  • HTML (иногда)
  • Render (иногда)
На вкладке «Raw» отображается сообщение в необработанном виде. Вкладка «Headers» отображает параметры заголовка HTTP в табличном формате. Параметры доступны для редактирования, а столбцы могут быть добавлены, удалены или изменены в таблице в таких инструментах, как Proxy и Repeater.
Для запросов, содержащих параметры или файлы cookie, имеется вкладка «Params». Параметры доступны для редактирования, и столбцы можно добавлять, удалять или изменять в таблице с помощью таких инструментов, как Proxy и Repeater.
Наконец, есть вкладка «Hex», которая представляет сообщение в шестнадцатеричном формате; по сути, это шестнадцатеричный редактор. Вам разрешено редактировать отдельные байты в таких инструментах, как Proxy и Repeater, но эти значения должны быть заданы в шестнадцатеричной форме с двумя цифрами, от 00 до FF.

Вот, как это выглядит на примере:

[1] Burp Suite: Знакомство с основным инструментарием


Работа с Repeater.

Repeater позволяет вносить изменения в запрос, мы его видим в левом окне. Каждое сообщение из перехваченного нами трафика, можно модифицировать в Repeater и отправить повторно, что и понятно из названия инструмента.

[1] Burp Suite: Знакомство с основным инструментарием


Кнопка Go отправляет запрос приложению, а ответ отображается в правом окне.
Request включает в себя Raw, Params (для запросов с параметрами или файлами cookie), Headers и Hex.
Детали, относящиеся к HTTP-ответу, включают в себя стандартные Raw, Headers, Hex, а иногда и HTML и Render.
Внизу каждой панели находится текстовое поле поиска, позволяющее тестеру быстро найти значение, присутствующее в сообщении.

[1] Burp Suite: Знакомство с основным инструментарием


Работа с Decoder.

Burp Decoder - это инструмент, который позволяет тестеру преобразовывать необработанные данные в закодированные данные или извлекать закодированные данные и преобразовывать их обратно в обычный текст.
Декодер поддерживает несколько форматов, включая URL-кодирование, HTML-кодирование, кодирование Base64, двоичный код, хэшированные данные и другие. Декодер также включает в себя встроенный шестнадцатеричный редактор.
По ходу проведения тестирования на проникновение, тестировщику часто могут попадаться закодированные значения. Декодер знатно упрощает в этом плане, нам жизнь, позволяя отправлять в него закодированное значение и использовать различные функции декодирования.
Попробуем декодировать значение токена сеанса PHPSESSID, найденного в приложении OWASP Mutillidae II.

Когда мы переходим по ссылке:
  • [your ip]/mutillidae/
Нам, как пользователю будет назначен PHPSESSID cookie. Значение PHPSESSID представляется зашифрованным и затем упакованным в base 64. Используя Decoder, мы можем развернуть значение.
Выделите значение PHPSESSID, щелкните правой кнопкой мыши и выберите «Отправить в декодер»:

[1] Burp Suite: Знакомство с основным инструментарием


Можем декодировать и кодировать данные, как нам заблагорассудится, в рамках предоставленного инструментария:

[1] Burp Suite: Знакомство с основным инструментарием


На этом, пока, остановимся, можно потренироваться с редактированием запросов, освоится в работе Burp и посмотреть примеры работы с этими инструментами, дополнительно в сети.
В следующей части, продолжим осваивать основные инструменты Burp Suite, а затем перейдем к практическому их применению.
Специально для CODEBY.NET
 
Последнее редактирование:
Linnni

Linnni

Member
05.01.2019
14
2
Ура! Скорее бы продолжение
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vander
C

cryhack

Member
18.04.2018
20
5
Практически бесполезно даже для новичков, ибо эта и подобная info есть в google, при самом простом запросе "settings burp suite".
Ну посмотрим, что будет дальше, действительно, более менее оригинального.
 
Последнее редактирование модератором:
  • Нравится
Реакции: moeimya
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Практически бесполезно даже для новичков, ибо эта и подобная инфа есть в google, при самом простом запросе "settings burp suite". Ну посмотрим, что будет дальше, действительно, более менее оригинального.
Уже подбираемся к реализациям атак.
 
jonni80

jonni80

Happy New Year
24.06.2017
39
6
Очень жду продолжения статей в цикле Burp Suite
 
Последнее редактирование модератором:
Strongust

Strongust

Member
18.09.2018
24
-4
Firefox пишет "Соединение не установлено: Вероятная угроза безопасности" и ни один сайт не перехватывает, прокси указаны в настройках и браузера и в Burp Suite, с хромом аналогичные траблы. Как завести Burp Suite?
 
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
Firefox пишет "Соединение не установлено: Вероятная угроза безопасности" и ни один сайт не перехватывает, прокси указаны в настройках и браузера и в Burp Suite, с хромом аналогичные траблы. Как завести Burp Suite?
проблема с сертификатом бро, заходишь с включеным Burp на сайт тыкаешь на CA скачиваешь сертификат, потом в настройках браузера устанавливаешь его и все ок) Только интерцепт отключи пока будешь сертификат.
 
  • Нравится
Реакции: AdukAd и Strongust
S

Sergi123

Премиум
14.01.2019
20
3
добрый день, можете проверить ссылку на сертификат, она ведет уже в никуда, можете подсказать откуда скачать сертификат
 
fuzzz

fuzzz

Grey Team
03.02.2019
167
284
добрый день, можете проверить ссылку на сертификат, она ведет уже в никуда, можете подсказать откуда скачать сертификат
заходишь с включеным Burp на сайт тыкаешь на CA скачиваешь сертификат, потом в настройках браузера устанавливаешь его и все ок) Там же выше написано как сделать
 
  • Нравится
Реакции: AdukAd
Strongust

Strongust

Member
18.09.2018
24
-4
проблема с сертификатом бро, заходишь с включеным Burp на сайт тыкаешь на CA скачиваешь сертификат, потом в настройках браузера устанавливаешь его и все ок) Только интерцепт отключи пока будешь сертификат.
На фф установился норм все бегает, на хром каждый раз при обращении к сайту спрашивает вы точно хотите обратиться, небезопасный сайт, тыкаешь да хочу обращается тогда, это на хроме для каждого сайта нужно тыкать, что соглашаюсь? фф таких вопросов не задает, все ровно, может в хроме где то галку поставить?
 
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
На фф установился норм все бегает, на хром каждый раз при обращении к сайту спрашивает вы точно хотите обратиться, небезопасный сайт, тыкаешь да хочу обращается тогда, это на хроме для каждого сайта нужно тыкать, что соглашаюсь? фф таких вопросов не задает, все ровно, может в хроме где то галку поставить?
хз если честно с хромом не использовал, но может попробовать поставить низкий уровень безопасности в хроме.
 
S

Sergi123

Премиум
14.01.2019
20
3
спс разобрался но лучше посмотреть видео из ютуба, там все расписано по полочкам
 
Z

zhalkhas

New member
01.04.2019
1
0
На фф установился норм все бегает, на хром каждый раз при обращении к сайту спрашивает вы точно хотите обратиться, небезопасный сайт, тыкаешь да хочу обращается тогда, это на хроме для каждого сайта нужно тыкать, что соглашаюсь? фф таких вопросов не задает, все ровно, может в хроме где то галку поставить?
У FIrefox своя база сертификатов, поэтому он не ругается после добавления в нем, а Хром вроде юзает system-wide settings, возможно проблема в этом
 
mackgomeryberns

mackgomeryberns

Member
04.03.2019
21
2
У FIrefox своя база сертификатов, поэтому он не ругается после добавления в нем, а Хром вроде юзает system-wide settings, возможно проблема в этом
ну так и у Firefox по умолчанию стоит использовать настройки системы
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб