Explicación de las funciones principales de la herramienta de pruebas de penetración Burp Suite
- prefacio
- 1. Módulo proxy
-
- 1.1 Diseño de la interfaz
-
- 1.1.1 Barra de menú
- 1.1.2 Barra de módulos
-
- (1) Barra de módulos Dashboard (dashboard)
- (2) Columna de módulo Objetivo (objetivo)
- (3) Columna de módulo Proxy (proxy)
- (4) Módulo columna Intruso (intrusión)
- (5) Repetidor de barra de módulo (reproducción)
- (6) Módulo columna Secuenciador (secuenciador)
- (7) Decodificador de columna de módulo (descodificación)
- (8) Módulo columna Comparer (comparador)
- (9) Columna del módulo Registrador (log)
- (10) Extensor de columna de módulo (enchufable)
- 1.2 Módulo proxy
- 2. Módulo de destino
- 3. Módulo de escaneo
-
- 3.1 Descripción general del análisis de vulnerabilidades
- 3.2 Función de escaneo
- 3.3 Función de escaneo en vivo
- 3.4 Generar informe de escaneo
- 4. Módulo repetidor
- 5. Módulo de intrusión
prefacio
El artículo es largo Antes de leerlo, se recomienda comprender las siguientes cuatro preguntas.
Pregunta 1. ¿Qué es Burp Suite?
Burp Suite es una herramienta de prueba de penetración integrada que integra una variedad de componentes de prueba de penetración, lo que nos permite completar mejor las pruebas de penetración y los ataques a las aplicaciones web de forma automática o manual.
En las pruebas de penetración, utilizamos Burp Suite para que las pruebas funcionen de forma más rápida y eficiente.
Pregunta 2: ¿Dónde está la función concreta de Burp Suite? (algunos ejemplos)
1. Ataque el sitio web y obtenga el nombre de usuario y la contraseña de inicio de sesión
2. Ataque al sitio web para obtener contraseña y token
Ataque el sitio web con la condición de obtener el token CSRF, obtenga el nombre de usuario y la contraseña de inicio de sesión correctos
3. Ataca el sitio web, omite la etapa de ingreso del código de verificación
Modifique el valor de respuesta, omita el código de verificación e ingrese al siguiente nivel de la página web
Pregunta 3. ¿Cómo instalar y configurar Burp Suite?
Tutorial de configuración de Burp Suite:
[Seguridad de red] Burpsuite v2021.12.1 Instalación, activación, configuración e inicio rápido
Pregunta 4. ¿Cómo usar Burp Suite?
El enlace de aprendizaje del sitio web oficial es el siguiente:
https://portswigger.net/support
https://portswigger.net/burp/documentation/desktop
El documento en línea del sitio web oficial tiene una introducción detallada a todos los parámetros de todos los módulos en la herramienta
1. Módulo proxy
1.1 Diseño de la interfaz
Documento de explicación de la interfaz
https://portswigger.net/burp/documentation/contents
1.1.1 Barra de menú
(1) barra de menú eructar
infiltrator:渗透者,对java程序中做安全扫描,生成jar包
clickbandit:点击劫持,生成一个点击劫持的工具来验证漏洞
collaborator:有些漏洞没有回显,添加一个服务器
(2) proyecto de barra de menú
(3) Barra de menú Intruso
(4) Repetidor de barra de menú
(5) Ventana de la barra de menú
Cada ventana de la página de inicio puede ocupar de forma independiente toda la pantalla
(6) Barra de menú Ayuda
documentación local
1.1.2 Barra de módulos
(1) Barra de módulos Dashboard (dashboard)
Tareas (exploración de vulnerabilidades y tareas de rastreo)
(2) Columna de módulo Objetivo (objetivo)
scope define una regla de escaneo
(3) Columna de módulo Proxy (proxy)
Interceptar los paquetes HTTP del navegador (incluidas las solicitudes y respuestas), lo que equivale a un intermediario
Introducción al hogar
(4) Módulo columna Intruso (intrusión)
Para la solicitud interceptada (dirección), configure la carga de ataque (carga útil) y use el diccionario para la prueba de penetración
Por ejemplo: escaneo de directorios, descifrado de contraseñas por fuerza bruta, pruebas de estrés, FUZZ, etc.
(5) Repetidor de barra de módulo (reproducción)
1. Analizar el contenido específico de solicitud y respuesta de cada paso
2. Modificar el contenido de la solicitud y la respuesta
3. Reenviar el contenido de la solicitud
(6) Módulo columna Secuenciador (secuenciador)
Se utiliza para evaluar si se pueden falsificar campos clave como Token y Sesión (ya sea fijo o predecible)
(7) Decodificador de columna de módulo (descodificación)
Codificar y decodificar datos de solicitud
(8) Módulo columna Comparer (comparador)
comparar los dos resultados
(9) Columna del módulo Registrador (log)
(10) Extensor de columna de módulo (enchufable)
1.2 Módulo proxy
1.2.1 Configuración del proxy del navegador
proxy web
Es inconveniente que una computadora se comunique con otras computadoras
Función: romper las restricciones de IP, ocultar IP, acelerar el acceso
Cómo transferir los datos enviados por el navegador al proxy en el BP, que debe configurarse
1.2.1.1 Configuración de la computadora
Encienda el proxy en la computadora (no recomendado, afecta la velocidad)
1.2.1.2 Configuración del navegador
Abra el navegador, configure, busque proxy
1.2.1.3 Complementos del navegador
(1) navegador Firefox
Busque "proxy foxy" en el componente adicional del navegador, haga clic para instalar
Después de que la instalación sea exitosa, aparece el agente.
Agregue un proxy, haga clic en Opciones, ingrese burp proxy para el título, el tipo de proxy HTTP, la IP del proxy y el BP son consistentes, 127.0.0.1, el puerto y el BP coinciden con 8080, el nombre de usuario y la contraseña se ignoran
De esta forma se obtiene un agente BP
(2) Google Chrome
buscar
crxdl.com
Buscar en la búsqueda de complementos
proxy
Descargue uno de ellos, luego abra la dirección en Google Chrome
chrome://extensions
Modifique el paquete de instalación descargado a un archivo .crx a .zip, simplemente arrástrelo
Si el método anterior informa un error, debe abrir el modo de desarrollador en esta página
chrome://extensions
Elija cargar la extensión desempaquetada
Seleccione la carpeta principal, puede
1.2.2 Configuración de proxy de BP
configuración más fácil
El puerto de escucha predeterminado en la opción
Activar intercepción
Después de abrir, BP siempre está monitoreando, y en este momento, debe abrir el proxy BP del navegador
seguimiento inicial
1.2.2.1 liberación hacia adelante
Los siguientes son los significados específicos
Actualmente en el navegador Firefox, ingrese la URL de Baidu, abra Baidu
baidu.com
El navegador circulará y no podrá abrir la URL
Después de hacer clic en liberar
La URL se puede abrir normalmente
1.2.2.2 soltar
Después de descartar, el navegador muestra
1.2.2.3 Interfaz principal de intercepción
1.2.2.4 Opciones
puerto de escucha
Procesar los datos solicitados por el cliente al servidor
Interceptar la respuesta del servidor
Hacer otras sustituciones automáticas para solicitudes y respuestas
Penetración TLS (sin BP)
1.2.3 BP intercepta datos HTTPS
Certificado del sitio web:
1. El sistema operativo instala el certificado raíz, que contiene la clave pública de la CA
2. El certificado emitido por la CA contiene la clave pública de la organización y firma el resumen de la clave pública de la organización con la clave pública de la CA.
3. El navegador usa la clave pública de la CA. La clave pública verifica el resumen y confirma que la clave pública de la organización es legal.
4. El navegador usa la clave pública de la organización para negociar una clave de sesión con el servidor
5. El navegador se comunica con el servidor utilizando la clave de sesión.
HTTPS
Cuando el BP no instala el certificado, el navegador mostrará una advertencia de seguridad
1.2.3.1 Descargar certificado BP método uno
Después de que el navegador y BP estén encendidos, ingrese en el navegador
http://burp/
1.2.3.2 Descargar certificado BP método 2
En BP, Proxy, Opciones
seleccione exportar
Exportar en formato DER
Después de la descarga, importe el certificado en el navegador
En la configuración del navegador, ingrese "Certificados",
importar en autoridad
y confianza
1.2.4 BP Intercepta datos de aplicaciones móviles
Si desea infiltrarse en la aplicación móvil o en el servidor de la aplicación, primero debe capturar la aplicación
(1) Encienda el monitor de eructos de la computadora
En primer lugar, la computadora debe estar conectada a WiFi en lugar de a una red cableada, para que el teléfono móvil y la computadora puedan estar en el mismo entorno de red (si la red cableada de la computadora de escritorio y la WiFi del teléfono móvil están en el mismo entorno de red, también es posible).
Abra cmd en la computadora e ingrese ipconfig -all para ver la dirección IPv4 de la WLAN:
Por ejemplo, la IP actual es 192.168.10.142, recuérdala y utilízala más tarde. Inicie Burp, abra Proxy - Opciones - Agregar
En la ventana adicional que se abre, complete 8080 para el puerto y seleccione la dirección IP que acaba de ver para la dirección vinculante, como se muestra en la figura:
Haga clic en Aceptar para confirmar. En este momento, el oyente debe verificar el nuevo en lugar del predeterminado:
(2) Configurar proxy WiFi móvil
Primero conecte su teléfono al mismo WiFi que su computadora. Desde la configuración de su teléfono, vaya a la configuración de Wi-Fi
Mantenga presionado el nombre del WiFi actualmente conectado y haga clic en la ventana emergente "Modificar red".
En la ventana que se abre, marque "Mostrar opciones avanzadas"
Habilitar proxy: haga clic en el interruptor de proxy y seleccione "Manual" en la ventana emergente.
Después de habilitar el cambio de proxy, debe configurar el proxy:
El proxy ha sido configurado. Luego, todas las solicitudes de red en el teléfono se enviarán a Burp.
Nota: No es que tendrá solicitudes de red cuando esté operando la aplicación. La aplicación en el teléfono móvil está accediendo a la red todo el tiempo, por lo que se atraparán muchos paquetes irrelevantes.
Se recomienda encender el interruptor de intercepción de Burp antes de la operación manual, para que los paquetes se puedan capturar con precisión.
Active el interruptor de intercepción en Proxy-Intercept:
Por ejemplo: cuando el navegador móvil abre la búsqueda de Baidu, Burp captura el paquete de comunicación en la computadora:
En este punto, la configuración de captura de paquetes está completa.
(3) Certificado de instalación de teléfono móvil
Para los sitios web HTTPS, el cliente debe cifrar el mensaje con la clave del servidor antes de enviarlo.
Cuando se configura el proxy, el cliente (navegador) solicita un certificado de Burp, pero Burp no tiene un certificado y el navegador le indicará que no es seguro. O, si el certificado del servidor se usa para cifrar, lo que captura Burp es el mensaje cifrado, que no se puede ver ni modificar.
Así que el proceso completo es así:
El cliente primero encripta el mensaje con la clave de burp. Después de que burp descifra el texto sin formato, cifra el mensaje con la clave del servidor.
Así que aquí tenemos que instalar el certificado de eructos en el teléfono.
Seleccione el primero, certificado en formato DER, haga clic en Siguiente
Es muy importante elegir la ruta CA guardada (como la unidad D) y nombrar el archivo con el sufijo .cer, ya que el teléfono móvil solo puede instalar el tipo de certificado .cer y el formato der predeterminado no se puede reconocer ni instalar. Haga clic en Guardar, luego en Siguiente
Cuando se complete la exportación, cierre la ventana:
Envíe el archivo al teléfono móvil, como usar el "Asistente de transferencia de archivos" de WeChat. "Abrir con otra aplicación" en tu teléfono.
Seleccione "Instalador de certificados" para abrir, solo una vez
Escriba el nombre del certificado, seleccione WLAN, confirme, la instalación es exitosa.
Busque "certificado" en la configuración, credenciales de usuario y vea el certificado:
Puede ver los certificados instalados
(4) Cancelar captura de eructos
Si ya no necesita tomar el paquete del teléfono y necesita acceso normal, simplemente cancele el proxy. Mantenga presionado el nombre de WiFi para ingresar a la configuración, mostrar opciones avanzadas, proxy, establecer en "ninguno", guardar, puede
2. Módulo de destino
2.1 El rol del módulo Target
Registre todo el tráfico que pasa por BP
1. El historial HTTP se registra en orden cronológico
2. El objetivo se clasifica y registra por host o nombre de dominio
Después de solicitar Taobao, planes de destino y registros por sitio
作用
1、把握网站的整体情况
2、对一次工作的域进行分析
3、分析网站存在的攻击面
Superficie de ataque:
una colección de métodos de ataque que se pueden adoptar para un sistema de software. Cuanto mayor sea la superficie de ataque de un software, mayor será el riesgo de seguridad. La superficie de ataque
incluye: campos, protocolos, interfaces, servicios y puntos de ataque de hardware.
2.2 Target establece el alcance del objetivo
Propósito: Qué tráfico se registra y qué tráfico no se registra
2.2.1 Determinar el mismo dominio
协议、域名和端口必须都相同才算一个域
目录、文件、参数可以不同
Al igual que en la siguiente tabla, excepto que los dos nombres de dominio en la primera fila son el mismo dominio, el resto no son el mismo dominio
El protocolo en la segunda línea es diferente.
El nombre de dominio principal en la tercera línea es diferente.
El nombre del subdominio en la cuarta línea es diferente.
El puerto en la quinta línea es diferente.
Dominio 1 | Dominio 2 |
---|---|
http://www.baidu.com/ | http://www.baidu.com/admin?a=1 |
http://www.baidu.com/ | https://www.baidu.com/ |
http://www.baidu.com/ | http://www.baidu.cn/ |
http://www.baidu.com/ | http://blog.baidu.com/ |
http://www.baidu.com:80/ | http://www.baidu.com:7298 |
2.2.2 Limitación del alcance de los dominios
Solo interceptar el sitio, no el contenido del sitio.
Lista blanca: solo estos bloquearé
Lista negra: siempre y cuando estos no estén bloqueados
Por ejemplo,
solo intercepte https://www.baidu.com/
pero no https://www.baidu.com/blog
La ruta de la lista negra es generalmente una subruta de la lista blanca
2.2.3 Escenarios de uso
1、限定Sitemap和HTTP history记录哪些域的内容
2、限定Spider抓取哪些域的内容
3、限定Scanner扫描哪些域的安全漏洞
Configuración avanzada de reglas de listas blancas y negras
se pueden agregar expresiones regulares
2.3 Mapa del sitio Mapa del sitio
Finalidad: conservación de los resultados registrados
2.3.1 Tipo de registro de mapa del sitio
1、自动(爬行)
全面但耗费时间
2、手动(浏览器访问)
只记录一次的站点地图
要求设置好BP和浏览器的代理,并且在访问前关掉拦截
Primero elimine el historial HTTP y el mapa del sitio de Target
En Intercept, aparecerán todos los sitemaps
2.3.2 Intercepción predeterminada
Bloquear algunos archivos por defecto
2.3.3 Interfaz
2.4 Operación de resultado objetivo
Simplemente haga clic derecho
2.4.1 Agregar al alcance
Significa que se generó una lista blanca para este nombre de dominio, y todo el contenido, excepto esta ruta, no se registrará en el mapa del sitio.
2.4.2 Enviar a módulo
enviado al módulo correspondiente
2.4.3 Solicitud en navegador
abierta en el navegador
2.4.4 Herramientas de participación
herramientas interactivas
(1) buscar
Verifique el contenido exacto
Encuentra la etiqueta img
(2) Buscar comentarios
encontrar notas
(3) Buscar guión
Encuentra scripts bajo dominio
(4) Buscar referencia
Ver código fuente del sitio web
Hay muchos hipervínculos en la página web, si quiere saber desde dónde saltar, necesita una referencia
作用:
告诉服务器当前请求是从哪个页面链接过来的
应用场景:
1、来源统计
2、防盗链
(5) Analizar objetivo
Análisis de superficie de ataque
Mostrar enlaces dinámicos, enlaces estáticos, cuántos parámetros hay
(6) Descubrir contenido
Descubrir contenido para un dominio
Use el diccionario incorporado para hacer un escaneo de directorio para determinar si existen ciertos archivos o carpetas
(7) Programar tarea
tarea cronometrada
Pausar una tarea afecta a muchas tareas
(8) Pruebas manuales
Simulador de prueba manual
2.4.5 Comparar mapas del sitio
Compare los dos resultados de respuesta de HTTP
Por ejemplo, use diferentes cuentas e inicie sesión con diferentes parámetros
3. Módulo de escaneo
3.1 Descripción general del análisis de vulnerabilidades
漏洞扫描工具
AWVS、Appscan、Nessus、Openvas、Goby、 Xray、ZAP
3.1.1 Dos funciones principales (Crwal&Audit)
Dos funciones, rastreo y auditoría.
Escaneo activo y escaneo pasivo
3.1.2 Tres estados de filtrado
3.1.3 Escaneo activo
El escaneo activo tiene un área de impacto grande y no se recomienda
Escaneo activo:
1. Método: rastrear todos los enlaces y detectar vulnerabilidades
2. Características: enviar una gran cantidad de solicitudes
3. Ocasiones de uso: entornos de desarrollo y prueba
4. Vulnerabilidades de destino:
vulnerabilidades del lado del cliente, como XSS, inyección de encabezado HTTP y redirección de operaciones .
Vulnerabilidades del lado del servidor, como inyección SQL, inyección de línea de comandos y cruce de archivos.
3.1.4 Escaneo pasivo
Escaneo pasivo:
1. Método: solo detecta la dirección del servidor proxy BP sin rastrear
2. Características: envía solicitudes limitadas
3. Ocasión de uso: entorno de producción
4. Para vulnerabilidades:
(1) La contraseña enviada es texto sin formato sin cifrar.
(2) Atributos de las cookies inseguras, como la falta de HttpOnly y las banderas de seguridad.
(3) Falta el alcance de la cookie.
(4) Inclusión de secuencias de comandos entre dominios y filtraciones de referencias de sitios.
(5) Autocompletar valores de formulario, especialmente contraseñas.
(6) Almacenamiento en caché de contenido protegido por SSL.
(7) Listado de directorios.
(8) La respuesta se retrasa después de enviar la contraseña.
(9) Transmisión insegura de tokens de sesión.
(10) Fuga de información confidencial, como direcciones IP internas, direcciones de correo electrónico, seguimiento de pilas y otra fuga de información.
(11) Configuración no segura de ViewState.
(12) Directiva de tipo de contenido incorrecta o irregular
3.2 Función de escaneo
Seleccione Nuevo escaneo, seleccione el sitio web que creó en la dirección de escaneo, pupstudy
3.2.1 Información de escaneo
3.2.2 Configuración detallada
3.2.2.1 Configuración de rastreo
(1) Configuración de la operación de rastreo
(2) Límite de rastreo
(3) Manejo de errores de rastreo
3.2.2.2 Configuración de auditoría
(1) Configuración de la operación de auditoría
(2) Informe de vulnerabilidad de resultados de escaneo
(3) Manejo de errores de escaneo
(4) Tipo de punto de inserción
3.2.3 Configuración de inicio de sesión
Si la dirección escaneada necesita iniciar sesión (página de fondo), debe proporcionar el número de cuenta y la contraseña
3.2.4 Ejemplo de rastreo de rastreo
Después de configurarlo, ahora ha comenzado a rastrear
Seleccione rastrear en la configuración
Seleccione Ver detalles para ver contenido detallado
Ya rastreado a 6 direcciones
Todas las direcciones rastreadas se registran en el registrador
3.2.5 Ejemplo de rastreo pasivo
Elija rastreo pasivo
Elija el primero, rastree y audite
Primero cree una configuración de rastreo
Haga clic en estos elementos y guarde
Luego cree una nueva configuración de auditoría
Muestra que está rastreando, y la auditoría debe realizarse después de que finalice el rastreo, y no se informarán lagunas antes de la auditoría.
3.3 Función de escaneo en vivo
Seleccionar escaneo pasivo
3.4 Generar informe de escaneo
Una vez finalizada la tarea, el informe de BP se puede exportar (debe ser posterior al final)
4. Módulo repetidor
4.1 Función de repetidor
1、发起HTTP请求,分析响应
2、重放请求
4.2 Cómo usar
nueva ventana,
Al enviar a este módulo, punto de envío, se puede modificar el contenido.
5. Módulo de intrusión
Traducción: invasor
Más utilizado para la voladura de contraseñas
5.1 Función y principio del módulo
原理
请求参数进行修改,分析响应内容,获得特征数据
本质:
1、自动化发起HTTP请求
2、基于现成字典或者生成字典
用途
1、猜测用户名、密码等
2、寻找参数、目录等
3、枚举商品ID、验证码等
4、模糊测试(FUZZ)
可替代工具:
wfuzz(全部功能)、dirb(目录扫描)、hydra(暴
破)……
5.2 Código de verificación de omisión y combate de fuerza bruta de contraseña
Manténganse al tanto. . . . . .