Привет Codeby.net,
Покопавшись на форуме в Ресурсах я нашёл чудесный инструмент Burp Suite Pro, однако мануалов на форуме я не нашёл, посему и решил начать цикл статей для новичков.
О том что такое Burp Suite я долго рассказывать не буду описаний в интернете полно. Лично для меня это инструмент с которым я работаю каждый день для тестирования Web-Services & Applications, API и всего что связанно с WEB. Если говорить просто то Burp это как чемоданчик вашего дедушки с помощью которого можно починить, в нашем случае взломать всё что связанно с Web-Application.
Это буде вводная статья где мы рассмотрим установку Burp и настройку браузера для работы с ним.
После установки можно сразу ринуться тестить всех и вся и обнаружить что всё и вся не тестится, причина проста вначале настроить браузер.
Ну теперь можно приступать к запуску.
Ну что же первый шаг сделан. В следующей статье мы рассмотрим базовое сканирование, работу с Repeater и Intruder.
Если вам интересны какие то конкретные моменты работы с Burp рад буду ответить.
Покопавшись на форуме в Ресурсах я нашёл чудесный инструмент Burp Suite Pro, однако мануалов на форуме я не нашёл, посему и решил начать цикл статей для новичков.
- Для примеров я буду использовать официальную версию Burp Suite Pro v. 1.7.31 (для обучения вы можете использовать
Ссылка скрыта от гостей, функционал там подрезан но для обучения и понимая сути хватит, кстати Burp Suite Community Edition уже предустановленна в Kali 2018.1 )
- В качестве хост системы будет использованна виртуальная машина(VBox) c
Ссылка скрыта от гостей
- Для того чтобы всё было легально в качестве жертвы будет использованна
Ссылка скрыта от гостейустановленная в качестве второй виртуалке в том же Vbox.
Это буде вводная статья где мы рассмотрим установку Burp и настройку браузера для работы с ним.
1. Скачиваем установочный файл с официального сайта
2. Далее открываем терминал и переходим в директорию с файлом и прописываем
Если вы используете
3. Далее следуем указанием инстолятора.
Для того чтобы подтвердить вашу лицензию понадобиться подключение к сети.
В случае возникновения проблем воспользуйтесь ручным режимом активации.
4. Если всё пройдёт успешно то увидите следующее окно.
Ну вот и всё с установкой мы справились.
Ссылка скрыта от гостей
2. Далее открываем терминал и переходим в директорию с файлом и прописываем
Код:
java –jar burpsuite*ВерсияПрограммы.jarЕсли вы используете
Ссылка скрыта от гостей
в Kali 2018.1 то вы можете просто запустит его из меню программ.3. Далее следуем указанием инстолятора.
Для того чтобы подтвердить вашу лицензию понадобиться подключение к сети.
В случае возникновения проблем воспользуйтесь ручным режимом активации.
4. Если всё пройдёт успешно то увидите следующее окно.
Ну вот и всё с установкой мы справились.
Я буду показывать всё на примере браузера Firefox дефолтный для Kali. По умолчанию Burp использует прокси 127.0.0.1:8080. И есть несколько способов как перевести браузер на использование нужного нам прокси.
1. Средствами браузера то есть вам надо перейти в Settings -> Advanced -> Connection Settings -> Manual Proxy configuration. Я буду использовать его так как на этой виртуальной машине я буду работать только с Burp и только буду его использовать только для статей. Если вы используете Burp на своей основой машине то я рекомендую второй способ, ибо постоянно в настройках менять прокси муторно.
2. Использовать приложения типа
1. Средствами браузера то есть вам надо перейти в Settings -> Advanced -> Connection Settings -> Manual Proxy configuration. Я буду использовать его так как на этой виртуальной машине я буду работать только с Burp и только буду его использовать только для статей. Если вы используете Burp на своей основой машине то я рекомендую второй способ, ибо постоянно в настройках менять прокси муторно.
2. Использовать приложения типа
Ссылка скрыта от гостей
с помощью которого вы можете создать профиль для прокси соединения. Кому как удобно.И так после успешной установки первое что вы увидим будет форма создания проекта. Я выберу временный проект, если планируете тестировать несколько проектов одновременно советую вести катологизацию чтобы потом не запутаться.
Мы будем использовать настройки по умолчанию.
Ну что же Burp запущен. Я решил не делать описание всех инструментов и вкладок сразу, я буду делать это по ходу уроков.
Самые любопытные могут почитать документацию на
Далее переходим во вкладку Proxy и суб вкладку Intercept. И отключаем его, чтобы принимались шли в автоматическом а не ручном режиме. Теперь мы будем видеть все запросы и ответы проходящие через наш прокси каждый запрос можно посмотреть во вкладке HTTP Proxy.
Теперь с помощью браузера переходим на сайт нашей жертвы или в случае работы с Metasploitble2 на IP адрес виртуальной машины.
Если всё настроено правильно то на сайт автоматически отобразиться во вкладке Target.
Мы будем использовать настройки по умолчанию.
Ну что же Burp запущен. Я решил не делать описание всех инструментов и вкладок сразу, я буду делать это по ходу уроков.
Самые любопытные могут почитать документацию на
Ссылка скрыта от гостей
документация очень детальная и структурированная.
Далее переходим во вкладку Proxy и суб вкладку Intercept. И отключаем его, чтобы принимались шли в автоматическом а не ручном режиме. Теперь мы будем видеть все запросы и ответы проходящие через наш прокси каждый запрос можно посмотреть во вкладке HTTP Proxy.
Теперь с помощью браузера переходим на сайт нашей жертвы или в случае работы с Metasploitble2 на IP адрес виртуальной машины.
Если всё настроено правильно то на сайт автоматически отобразиться во вкладке Target.
Если вам интересны какие то конкретные моменты работы с Burp рад буду ответить.
