• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Soft Burp Suite. 1 часть. Обзор и начальная настройка

Obelisk

Obelisk

Happy New Year
26.11.2019
12
49
Приветствую аудиторию Codeby. Давно хотел начать писать сюда, но всё откладывал. Знаю, что здесь уже есть похожие статьи, но я не могу по зову совести выбросить какой-то материал, т.к планируется целый цикл статей и одна статья будет ступенью в понимании другой.

Это самый настоящий армейский швейцарский нож в мире ИБ. Если вы хотите уметь проводить аудиты безопасности, то вы обязаны изучить эту платформу, т.к она ускорит весь процесс, а её удобству можно только позавидовать.

Что такое Burp Suite

Burp Suite – это интегрированная платформа для выполнения тестов по безопасности веб-приложений. Её различные инструменты эффективно работают вместе для поддержки всего процесса тестирования, от составления карты сайта и анализа поверхности атаки приложения до поиска и эксплуатации уязвимостей безопасности. Написан на Java.

Официальный сайт:

Burp может показаться слишком сложным для новичка, ведь он требует начальных знаний в сети, post и get запросов.

Содержит:
  • Перехватывающий прокси, который позволяет вам инспектировать и модифицировать трафик между вашим браузером и целевым приложением.
  • Паук для приложений для обхода контента и функциональности.
  • Продвинутый сканер веб-приложений для автоматизированного выявления ряда типов уязвимостей.
  • Инструмент Intruder для выполнения мощный пользовательских атак для поиска и эксплуатирования необычных уязвимостей.
  • Инструмент Repeater для манипуляций и повторной отправки индивидуальных запросов.
  • Инструмент Sequencer для тестирования хаотичных сессионных токенов (маркеров).
  • Возможность сохранять вашу работу и возобновлять рабочий процесс позже.
  • Расширяемость, позволяющая вам легко писать ваши собственные плагины, для выполнения комплексных и высоко настраиваемых задач внутри Burp.
  • Перебор паролей грубой силой (Brute Force)
Brute Force - это атака грубой силы для подбора какого-либо значения (пароль, хеш, директории и тд) с помощью подстановки случайных значений, так же есть Brut Force с помощью словаря с заранее подготовленными значениями.
Burp имеет 3 версии, Free (Community), Professional и Enterprise.

Нам пока хватит и Free (я же буду писать статьи на примере Pro версии), но платные версии неописуемо лучше, прошу ознакомиться со способностями и разбросом цен:

Burp Suite. 1 часть. Обзор и начальная настройка


Да, цена говорит сама за себя. Но вы окупите её через пару аудитов.

Настройка Burp Suite

Сегодня мы лишь настроим его для работы, а самое интересное будет в других статьях.

Как уже было написано выше, Burp выступает в роли proxy, то есть трафик идёт через него и не пойдет, пока мы не разрешим это. А когда мы остановили трафик, то можем его модифицировать «на лету». Мы сможем сменить юзерагент, вставить бекдор в запрос, подменить данные и многое, многое, многое другое.

Настройка proxy будет проводиться на примере Firefox Quantum.
  1. Заходим в настройки
  2. Основные
  3. В самом низу Параметры сети
  4. Повторите мои настройки и нажмите Ok (АХТУНГ! Как только вы включите proxy, то перестанут работать сайты, которые вы не внесли в исключение!)
Burp Suite. 1 часть. Обзор и начальная настройка

Если вы не хотите каждый раз ходить в настройки, то ставьте дополнение FoxyProxy, вот ссылка https://addons.mozilla.org/ru/firefox/addon/foxyproxy-standard/?src=search

С его настройкой всё просто, не буду на этом заострять внимание. Теперь давайте перехватим запрос к сайту http://www.ng.ru/

Сайт был выбран чисто случайно из выдачи гугла, нам нужен сайт именно на протоколе HTTP.

Запускаем наш Burp Suite и видим окно приветствия:

Burp Suite. 1 часть. Обзор и начальная настройка

Далее у нас вот такое окно, давайте его разберем:

Burp Suite. 1 часть. Обзор и начальная настройка

Тут мы видим 3 опции:
Temporary project - это временный проект, после работы он будет очищен. Подходит для быстых запусков и тестов.
New project on disk - это постоянный проект, который будет сохранен на диске. Походит для долгой работы с перерывами и возможностью переноса проекта на другое устройство.
Open existing project - это открытие ранее сохраненного проекта, который мы создали через New project on disk.
Нам подойдет временный проект, жмём Next.

Burp Suite. 1 часть. Обзор и начальная настройка

Теперь у нас Use Burp defaults и Load from configuration file. Тут уже тем более всё понятно. Скажу лишь то, что Burp Suite имеет свой файл конфигурации, в котором весь процесс аудита безопасности можно изменить под себя, к этому мы ещё вернемся.

Жмём Start Burp.

Пред нами предстал интерфейс Burp Suite:

Burp Suite. 1 часть. Обзор и начальная настройка

Теперь идём в браузер и включаем Proxy, который мы с вами настроили в начале статьи, чтобы Burp смог перехватить запросы. Напоминаю, что с сайтами HTTPS это пока не будет работать, но это пока.

Идем на сайт (сайт был выбран случайно из выдачи Google) — он будет вечно загружаться, потому что Burp «держит» все запросы.

У нас в Burp загорелась вкладка Proxy и вкладка Intercept, значит мы перехватили запрос, вот:

Burp Suite. 1 часть. Обзор и начальная настройка

Давайте на него посмотрим и изменим User-Agent
User-Agent - это отпечаток клиентского приложения, который используется для идентификации чего-либо. Как пример, отпечаток браузера будет таким: Mozilla/5.0 (Linux; U; Android 4.2.2; xx;) AppleWebKit/536 (KHTML, like Gecko) NX/3.0 (DTV; HTML; R1.0;). Посмотреть на другие можно тут:
Сейчас мой User-Agent Mozilla/5.0 (X11; Linux x86_64; rv:70.0) Gecko/20100101 Firefox/70.0, что видно на 2 строчке запроса, заменим его на что-то нейтральное, например на Hello_there!

И мы имеем:

Burp Suite. 1 часть. Обзор и начальная настройка

Чтобы отправить запрос нажмите кнопку Forward. Чтобы сбросить - Drop. А чтобы отключить перехват нажмите Intercept is on. Всё просто) Перехват нам пока не нужен, так что отключаем.

Настройка работы с HTTPS

Теперь давайте настроим Burp на работу с HTTPS, потому что при включенном Burp вас будет ждать ошибка защищенного соединения при попытке зайти на сайты с HTTPS, вот пример (старый скриншот).

Burp Suite. 1 часть. Обзор и начальная настройка

Добавляем сертификат:
  1. При запущенном Burp переходим на сайт
  2. Жмем CA Certificate срава в углу и загружаем файл cacerd.der
    Burp Suite. 1 часть. Обзор и начальная настройка
  3. В Firefox идём по пути Настройки > Приватность и Защита > В самом низу видим Сертификаты > Просмотр сертификатов/​
  4. Жмём Импортировать и выбираем наш cacerd.cer​
  5. Приводим настройки к такому виду:​
Burp Suite. 1 часть. Обзор и начальная настройка
6. Жмём OK.

Теперь Burp будет без каких-либо проблем работать с HTTPS
HTTPS - это расширение протоколоа HTTP, который направлен на защиту передаваемых данных посредством её шифрования с помощью SSL или TLC.

Настройка интерфейса.

Мне безумно не нравится цветовая гамма и размер шрифта, что на большом мониторе 23" не так трудно потерять зрение вечно щурясь.

Идём в User options, Display и выбираем нужный вам размер шрифта, мне удобен 18. Для запросов я поставил 20. Теперь необходимо перезапустить Burp для вступлений изменений в силу.
Пока я проводил настройку шрифтов, я и не заметил, что Burp нашел 2 уязвимости.

Burp Suite. 1 часть. Обзор и начальная настройка
А вот выглядит теперь Burp Suite после небольшой настройки шрифтов (2 больших скриншота):
Burp Suite. 1 часть. Обзор и начальная настройка


Burp Suite. 1 часть. Обзор и начальная настройка
Стоит упомянуть магазин аддонов для Burp Suite, который мгогократно увеличит и без того большие возможности Burp Suite.

Открываем вкладку Extender > BApp Store > Смотрим и восхищаемся.

Burp Suite. 1 часть. Обзор и начальная настройка

Предлагаю установить аддон XSS Validator, он находится внизу списка по алфавиту, но не по полезности.

Burp Suite. 1 часть. Обзор и начальная настройка

И вот он появился у нас во вкладках:

Burp Suite. 1 часть. Обзор и начальная настройка

А как с помощью этого аддона искать XSS мы поговорим в другой части.

На этом всё, друзья. Очень надеюсь, что статья вам понравилась и была полезна. В следующей статье мы будем изучать возможности этой потрясающей платформы и кратко разберем SQL injection.

Я открыт для отзывов и зравой критики, буду ждать.
 

Вложения

Sykes

Sykes

Happy New Year
17.10.2017
146
91
Планируется ли более подробный разбор фишек именно Pro версии и хотя бы части Pro аддонов из стора?
 
Obelisk

Obelisk

Happy New Year
26.11.2019
12
49
Планируется ли более подробный разбор фишек именно Pro версии и хотя бы части Pro аддонов из стора?
Да, конечно! О Burp Pro можно писать бесконечно) В 4 части думаю рассказать о типах сканирования и как их настроить под ситуацию.
 
G

GuruGRIEF

Happy New Year
03.04.2018
14
4
Здравствуйте, будет ли статья по фаззингу хедеров, обхода фильтраций от XSS?
 
  • Нравится
Реакции: RinGinO и Obelisk
Obelisk

Obelisk

Happy New Year
26.11.2019
12
49
Здравствуйте, будет ли статья по фаззингу хедеров, обхода фильтраций от XSS?
Да, эту тему я постараюсь раскрывать в ветке Burp или же начну новый цикл про фаззинг.

На форуме не приветствуются материалы, скопированные из других источников.
Прекрасно это знаю, но заверяю, что эта статья за моим авторством и её первая версия была написан в моей группе в VK ещё в 18 году. Все ссылки могу отправить в ЛС, чтобы не устраивать рекламную компанию тут. К тому же статья была изменена и не носит характер ctrl +c/v, ведь это моветон
 
  • Нравится
Реакции: RinGinO, Uastreb и Sykes
G

GraySW

New member
13.12.2018
2
6
Таких статей про установку/запуск писано-переписано. Сделайте лучше статью про взлом сайта с помощью бурпа. Только не bwapp, mutillidae и прочих, про них тоже писано-переписано, а реального. Можно взять сайт из какого нибудь ctf или тестовую лабу.
Желательно пройтись по всем основным возможностям бурпа и расписать всё подробно: запустил бурп, натравил паука, пофазил директории, сунул кавычку в инпут, побрутил админку и тд. .... получил профит (рце, шелл, пасс админа).
 
Obelisk

Obelisk

Happy New Year
26.11.2019
12
49
Таких статей про установку/запуск писано-переписано. Сделайте лучше статью про взлом сайта с помощью бурпа. Только не bwapp, mutillidae и прочих, про них тоже писано-переписано, а реального. Можно взять сайт из какого нибудь ctf или тестовую лабу.
Желательно пройтись по всем основным возможностям бурпа и расписать всё подробно: запустил бурп, натравил паука, пофазил директории, сунул кавычку в инпут, побрутил админку и тд. .... получил профит (рце, шелл, пасс админа).
Разумеется это всё будет, но не сразу. Я иду от уровня новичка до профи и если бы я начал с обусфакции пейлоада и обхода 100500 WAF сразу, то ценность статьи была снижена из-за порога вхождения. У нас даже лаба своя есть, вот только она пока не подразумевает шибко уж базовых вулнов. Да и Паука уже давно нет в Burp, теперь это отдельная фишка Crawl из Pro версии. Лучше уже идти от начала и до конца, чем сразу макнуть новичков в пучину веб-тестинга.
 
G

GraySW

New member
13.12.2018
2
6
Разумеется это всё будет, но не сразу. Я иду от уровня новичка до профи и если бы я начал с обусфакции пейлоада и обхода 100500 WAF сразу, то ценность статьи была снижена из-за порога вхождения. У нас даже лаба своя есть, вот только она пока не подразумевает шибко уж базовых вулнов. Да и Паука уже давно нет в Burp, теперь это отдельная фишка Crawl из Pro версии. Лучше уже идти от начала и до конца, чем сразу макнуть новичков в пучину веб-тестинга.
Значит будем ждать. А то обычно напишут 3-4 статьи вроде: установка, настройка, репитер, интрудер и всё. Это как писать об автомобиле: вот кузов, вот двигатель, вот колёса. А как грамотно управлять этим? Как доехать до финиша через дождь, снег и гололёд? Вот такой годноты очень мало. В общем, пишите, ждём продолжения!
 
  • Нравится
Реакции: RinGinO, Sykes и Obelisk
Мы в соцсетях: