Explicação das principais funções da ferramenta de teste de penetração Burp Suite
- prefácio
- 1. Módulo proxy
-
- 1.1 Layout da interface
-
- 1.1.1 Barra de menus
- 1.1.2 Barra do módulo
-
- (1) Painel da barra do módulo (dashboard)
- (2) Coluna do módulo Alvo (alvo)
- (3) Coluna do módulo Proxy (proxy)
- (4) Intrusão da coluna do módulo (intrusão)
- (5) Repetidor da barra do módulo (replay)
- (6) Sequenciador da coluna do módulo (sequenciador)
- (7) Decodificador da coluna do módulo (decodificação)
- (8) Comparador da coluna do módulo (comparador)
- (9) Logger da coluna do módulo (log)
- (10) Extensor de coluna do módulo (plug-in)
- 1.2 Módulo proxy
- 2. Módulo alvo
- 3. Módulo de digitalização
-
- 3.1 Visão geral da verificação de vulnerabilidade
- 3.2 Função de digitalização
- 3.3 Função de varredura ao vivo
- 3.4 Gerar relatório de verificação
- 4. Módulo repetidor
- 5. Módulo de intrusão
prefácio
O artigo é longo. Antes de lê-lo, é recomendável entender as quatro perguntas a seguir
Questão 1. O que é Burp Suite?
O Burp Suite é uma ferramenta integrada de teste de penetração que integra uma variedade de componentes de teste de penetração, permitindo-nos concluir melhor os testes de penetração e ataques em aplicativos da Web automática ou manualmente.
Nos testes de penetração, usamos o Burp Suite para tornar o teste mais rápido e eficiente
Questão 2: Onde está a função concreta do Burp Suite? (alguns exemplos)
1. Ataque o site e obtenha o nome de login e a senha do usuário
2. Ataque o site para obter senha e token
Ataque o site sob a condição de obter o token CSRF, obtenha o nome de usuário correto e a senha de login
3. Ataque o site, pule a etapa de entrada do código de verificação
Adultere o valor da resposta, pule o código de verificação e entre no próximo nível da página da web
Questão 3. Como instalar e configurar o Burp Suite?
Tutorial de configuração do Burp Suite:
[Segurança de rede] Burpsuite v2021.12.1 Instalação e ativação e configuração e início rápido
Pergunta 4. Como usar o Burp Suite?
O link de aprendizado do site oficial é o seguinte:
https://portswigger.net/support
https://portswigger.net/burp/documentation/desktop
O documento online do site oficial tem uma introdução detalhada a todos os parâmetros de todos os módulos da ferramenta
1. Módulo proxy
1.1 Layout da interface
Documento de Explicação da Interface
https://portswigger.net/burp/documentation/contents
1.1.1 Barra de menus
(1) barra de menu Burp
infiltrator:渗透者,对java程序中做安全扫描,生成jar包
clickbandit:点击劫持,生成一个点击劫持的工具来验证漏洞
collaborator:有些漏洞没有回显,添加一个服务器
(2) projeto de barra de menus
(3) Barra de menu Intruso
(4) Repetidor da Barra de Menus
(5) Janela da barra de menus
Cada janela na página inicial pode ocupar a tela inteira de forma independente
(6) Ajuda da barra de menus
documentação local
1.1.2 Barra do módulo
(1) Painel da barra do módulo (dashboard)
Tarefas (tarefas de varredura e rastreamento de vulnerabilidades)
(2) Coluna do módulo Alvo (alvo)
escopo define uma regra de verificação
(3) Coluna do módulo Proxy (proxy)
Intercepte os pacotes HTTP do navegador (incluindo solicitações e respostas), o que equivale a um intermediário
Introdução à casa
(4) Intrusão da coluna do módulo (intrusão)
Para a solicitação interceptada (endereço), defina a carga de ataque (carga útil) e use o dicionário para teste de penetração
Por exemplo: varredura de diretório, quebra de força bruta de senha, teste de estresse, FUZZ, etc.
(5) Repetidor da barra do módulo (replay)
1. Analise o conteúdo específico da solicitação e resposta de cada etapa
2. Modifique o conteúdo da solicitação e da resposta
3. Reenvie o conteúdo da solicitação
(6) Sequenciador da coluna do módulo (sequenciador)
Usado para avaliar se os campos-chave, como Token e Session, podem ser falsificados (seja fixo ou previsível)
(7) Decodificador da coluna do módulo (decodificação)
Codificar e decodificar dados de solicitação
(8) Comparador da coluna do módulo (comparador)
compare os dois resultados
(9) Logger da coluna do módulo (log)
(10) Extensor de coluna do módulo (plug-in)
1.2 Módulo proxy
1.2.1 Configurações de proxy do navegador
proxy web
É inconveniente para um computador se comunicar com outros computadores
Função: romper restrições de IP, ocultar IP, acelerar o acesso
Como transferir os dados enviados pelo navegador para o proxy no BP, que precisa ser configurado
1.2.1.1 Configurações do computador
Ligue o proxy no computador (não recomendado, afetando a velocidade)
1.2.1.2 Configurações do navegador
Abra o navegador, defina, procure proxy
1.2.1.3 Plug-ins do navegador
(1) Navegador Firefox
Pesquise por "foxy proxy" no componente de complemento do navegador, clique para instalar
Depois que a instalação for bem-sucedida, o agente aparecerá
Adicione um proxy, clique em Opções, digite burp proxy para o título, tipo de proxy HTTP, proxy IP e BP são consistentes, 127.0.0.1, porta e BP correspondem a 8080, nome de usuário e senha são ignorados
Desta forma, um agente BP é obtido
(2) Google Chrome
procurar
crxdl.com
Pesquisar na pesquisa de plugins
proxy
Baixe um deles e abra o endereço no Google Chrome
chrome://extensions
Modifique o pacote de instalação baixado para arquivo .crx para .zip, basta arrastá-lo
Se o método acima relatar um erro, você precisará abrir o modo de desenvolvedor nesta página
chrome://extensions
Escolha carregar a extensão descompactada
Selecione a pasta principal, você pode
1.2.2 Configurações de proxy de BP
configuração mais fácil
A porta de escuta padrão na opção
Ativar interceptação
Após a abertura, o BP está sempre monitorando e, neste momento, você precisa abrir o proxy BP do navegador
monitoramento inicial
1.2.2.1 liberação para frente
A seguir estão os significados específicos
Atualmente no navegador Firefox, insira o URL do Baidu, abra o Baidu
baidu.com
O navegador irá circular e não pode abrir o URL
Depois de clicar em liberar
URL pode ser aberto normalmente
1.2.2.2 queda
Depois de descartar, o navegador exibe
1.2.2.3 Interceptar interface principal
1.2.2.4 Opções
porta de escuta
Processar os dados solicitados pelo cliente para o servidor
Interceptar resposta do servidor
Faça outras substituições automatizadas para solicitações e respostas
Penetração TLS (sem BP)
1.2.3 BP intercepta dados HTTPS
Certificado do site:
1. O sistema operacional instala o certificado raiz, que contém a chave pública da CA.
2. O certificado emitido pela CA contém a chave pública da organização e assina o resumo da chave pública da organização com a chave pública da CA.
3. O navegador usa a chave pública da CA. A chave pública verifica o resumo e confirma que a chave pública da organização é legal.
4. O navegador usa a chave pública da organização para negociar uma chave de sessão com o servidor
5. O navegador se comunica com o servidor usando a chave de sessão.
HTTPS
Quando o BP não instalar o certificado, o navegador exibirá um aviso de segurança
1.2.3.1 Baixe o método um do certificado BP
Depois que o navegador e o BP estiverem ativados, digite no navegador
http://burp/
1.2.3.2 Baixe o método de certificado BP 2
Em BP, Proxy, Opções
selecione exportar
Exportar no formato DER
Após o download, importe o certificado para o navegador
Nas configurações do navegador, digite "Certificados",
importar na autoridade
e confiança
1.2.4 BP intercepta dados de aplicativos móveis
Se você deseja se infiltrar no aplicativo móvel ou no servidor do aplicativo, primeiro precisa capturar o aplicativo
(1) Ligue o computador Burp monitor
Em primeiro lugar, o computador precisa estar conectado ao WiFi em vez de uma rede com fio, para que o celular e o computador possam estar no mesmo ambiente de rede (se a rede com fio do computador de mesa e o WiFi do celular estiverem no mesmo ambiente de rede, também é possível).
Abra cmd no computador e digite ipconfig -all para visualizar o endereço IPv4 da WLAN:
Por exemplo, o IP atual é 192.168.10.142, lembre-se dele e use-o mais tarde. Inicie o Burp, abra o Proxy - Opções - Adicionar
Na janela adicionada que se abre, preencha 8080 para a porta e selecione o endereço IP que você acabou de ver para o endereço de ligação, conforme mostrado na figura:
Clique em OK para confirmar. Neste momento, o ouvinte deve verificar o novo em vez do padrão:
(2) Configurar proxy WiFi móvel
Primeiro, conecte seu telefone ao mesmo Wi-Fi do seu computador. Nas configurações do seu telefone, vá para configurações de Wi-Fi
Pressione e segure o nome do WiFi atualmente conectado e clique no pop-up "Modificar rede".
Na janela que se abre, marque "Mostrar opções avançadas"
Ativar proxy: Clique no botão de proxy e selecione "Manual" na janela pop-up.
Depois de habilitar o switch proxy, você precisa configurar o proxy:
O proxy foi configurado. Em seguida, todas as solicitações de rede no telefone serão enviadas para o Burp.
Observação: não é que você terá solicitações de rede quando estiver operando o aplicativo. O aplicativo no celular está acessando a rede o tempo todo, então muitos pacotes irrelevantes serão capturados.
Recomenda-se ligar a chave de interceptação do Burp antes da operação manual, para que os pacotes possam ser capturados com precisão.
Ligue o interruptor de interceptação em Proxy-Intercept:
Por exemplo: quando o navegador móvel abre a busca Baidu, o pacote de comunicação é capturado pelo Burp no computador:
Neste ponto, as configurações de captura de pacotes estão concluídas.
(3) Certificado de instalação do telefone celular
Para sites HTTPS, o cliente precisa criptografar a mensagem com a chave do servidor antes de enviá-la.
Quando o proxy está configurado, o cliente (navegador) solicita um certificado do Burp, mas o Burp não possui um certificado e o navegador avisará que não é seguro. Ou, se o certificado do servidor for usado para criptografar, o que o Burp captura é a mensagem criptografada, que não pode ser visualizada ou modificada.
Então o processo completo é assim:
O cliente primeiro criptografa a mensagem com a chave do burp. Depois que o burp descriptografa o texto simples, ele criptografa a mensagem com a chave do servidor.
Então aqui precisamos instalar o certificado de arroto no telefone.
Selecione o primeiro, certificado de formato DER, clique em Avançar
É muito importante escolher o caminho CA salvo (como a unidade D) e nomear o sufixo do arquivo .cer, porque o telefone celular só pode instalar o tipo de certificado .cer e o formato der padrão não pode ser reconhecido e instalado. Clique em Salvar e em Avançar
Quando a exportação estiver concluída, feche a janela:
Envie o arquivo para o celular, por exemplo, usando o "Assistente de transferência de arquivos" do WeChat. "Abrir com outro aplicativo" no seu telefone.
Selecione "Instalador de certificados" para abrir, apenas uma vez
Escreva o nome do certificado, selecione WLAN, confirme, a instalação foi bem-sucedida.
Pesquise "certificado" nas configurações, credenciais do usuário e visualize o certificado:
Você pode ver os certificados instalados
(4) Cancelar captura de arroto
Se você não precisar mais pegar o pacote do telefone e precisar de acesso normal, basta cancelar o proxy. Pressione e segure o nome do WiFi para inserir as configurações - exibir opções avançadas - proxy, definir como "nenhum", salvar, você pode
2. Módulo alvo
2.1 O papel do módulo Target
Registre todo o tráfego que passa pelo BP
1. O histórico de HTTP é registrado em ordem cronológica
2. O destino é classificado e registrado por host ou nome de domínio
Após solicitar o Taobao, direcionar planos e registros por site
作用
1、把握网站的整体情况
2、对一次工作的域进行分析
3、分析网站存在的攻击面
Superfície de ataque:
Uma coleção de métodos de ataque que podem ser adotados para um sistema de software. Quanto maior a superfície de ataque de um software, maior o risco de segurança. A
superfície de ataque inclui: campos, protocolos, interfaces, serviços e pontos de ataque de hardware
2.2 Alvo define o escopo do alvo
Finalidade: Qual tráfego é registrado e qual tráfego não é registrado
2.2.1 Determinar o mesmo domínio
协议、域名和端口必须都相同才算一个域
目录、文件、参数可以不同
Assim como na tabela a seguir, exceto que os dois nomes de domínio na primeira linha são o mesmo domínio, o restante não é o mesmo domínio
O protocolo na segunda linha é diferente.
O nome do domínio principal na terceira linha é diferente.
O nome do subdomínio na quarta linha é diferente.
A porta na quinta linha é diferente.
Domínio 1 | Domínio 2 |
---|---|
http://www.baidu.com/ | http://www.baidu.com/admin?a=1 |
http://www.baidu.com/ | https://www.baidu.com/ |
http://www.baidu.com/ | http://www.baidu.cn/ |
http://www.baidu.com/ | http://blog.baidu.com/ |
http://www.baidu.com:80/ | http://www.baidu.com:7298 |
2.2.2 Limitando o escopo dos domínios
Apenas intercepte o site, não o conteúdo do site
Whitelist: apenas esses eu vou bloquear
Lista negra: desde que não sejam bloqueados
Por exemplo,
intercepte apenas https://www.baidu.com/
, mas não https://www.baidu.com/blog
O caminho da lista negra geralmente é um subcaminho da lista branca
2.2.3 Cenários de Uso
1、限定Sitemap和HTTP history记录哪些域的内容
2、限定Spider抓取哪些域的内容
3、限定Scanner扫描哪些域的安全漏洞
Configurações avançadas de regra de lista negra e branca
expressões regulares podem ser adicionadas
2.3 Mapa do site Mapa do site
Finalidade: Preservação do resultado registrado
2.3.1 Tipo de registro do mapa do site
1、自动(爬行)
全面但耗费时间
2、手动(浏览器访问)
只记录一次的站点地图
要求设置好BP和浏览器的代理,并且在访问前关掉拦截
Primeiro exclua o histórico HTTP e o mapa do site de destino
No Intercept, todos os sitemaps aparecerão
2.3.2 Interceptação padrão
Bloquear alguns arquivos por padrão
2.3.3 Interface
2.4 Operação de resultado alvo
Apenas clique com o botão direito
2.4.1 Adicionar ao escopo
Isso significa que há uma lista branca gerada para este nome de domínio e todo o conteúdo, exceto este caminho, não será registrado no mapa do site
2.4.2 Enviar para o módulo
enviado para o módulo correspondente
2.4.3 Solicitação no navegador
abra no navegador
2.4.4 Ferramentas de engajamento
ferramentas interativas
(1)pesquisa
Verifique o conteúdo exato
Encontre a tag img
(2)Localizar comentários
encontrar notas
(3) Encontrar roteiro
Encontre scripts no domínio
(4)Encontrar referência
Ver fonte do site
Existem muitos hiperlinks na página da Web, se você quiser saber de onde pular, precisará de uma referência
作用:
告诉服务器当前请求是从哪个页面链接过来的
应用场景:
1、来源统计
2、防盗链
(5) Analisar alvo
Análise de Superfície de Ataque
Exibir links dinâmicos, links estáticos, quantos parâmetros existem
(6)Descubra o conteúdo
Descubra o conteúdo de um domínio
Use o dicionário integrado para fazer uma verificação de diretório para determinar se existem determinados arquivos ou pastas
(7)Agendar tarefa
tarefa cronometrada
Pausar uma tarefa afeta muitas tarefas
(8) Teste manual
Simulador de teste manual
2.4.5 Comparar mapas do site
Compare os dois resultados de resposta do HTTP
Por exemplo, use contas diferentes e faça login com parâmetros diferentes
3. Módulo de digitalização
3.1 Visão geral da verificação de vulnerabilidade
漏洞扫描工具
AWVS、Appscan、Nessus、Openvas、Goby、 Xray、ZAP
3.1.1 Duas funções principais (Crwal&Audit)
Duas funções, rastreamento e auditoria
Varredura Ativa e Varredura Passiva
3.1.2 Três estados de filtragem
3.1.3 Verificação ativa
A varredura ativa tem uma grande área de impacto e não é recomendada
Varredura ativa:
1. Método: rastrear todos os links e detectar vulnerabilidades
2. Recursos: enviar um grande número de solicitações
3. Ocasiões de uso: ambientes de desenvolvimento e teste
4. Vulnerabilidades de segmentação:
vulnerabilidades do lado do cliente, como XSS, injeção de cabeçalho HTTP e redirecionamento de operação .
Vulnerabilidades do lado do servidor, como injeção de SQL, injeção de linha de comando e travessia de arquivos.
3.1.4 Varredura passiva
Varredura passiva:
1. Método: Detectar apenas o endereço do servidor proxy BP sem rastreamento
2. Recursos: Enviar solicitações limitadas
3. Ocasião de uso: ambiente de produção
4. Para vulnerabilidades:
(1) A senha enviada é texto simples não criptografado.
(2) Atributos de cookies inseguros, como falta de HttpOnly e sinalizadores de segurança.
(3) Falta o escopo do cookie.
(4) Inclusão de script entre domínios e vazamentos de referência de site.
(5) Preencher automaticamente os valores do formulário, especialmente senhas.
(6) Cache de conteúdo protegido por SSL.
(7) Lista de diretórios.
(8) A resposta é atrasada após o envio da senha.
(9) Transmissão insegura de tokens de sessão.
(10) Vazamento de informações confidenciais, como endereços IP internos, endereços de e-mail, rastreamento de pilha e outros vazamentos de informações.
(11) Configuração insegura do ViewState.
(12) Diretiva de tipo de conteúdo incorreta ou irregular
3.2 Função de digitalização
Selecione Nova varredura, selecione o site que você criou no endereço de varredura, pupstudy
3.2.1 Informações de digitalização
3.2.2 Configuração detalhada
3.2.2.1 Configuração do rastreamento
(1) Configurações da operação de rastreamento
(2) Limite de rastreamento
(3) Tratamento de erros de rastreamento
3.2.2.2 Configuração de Auditoria
(1) Configurações de operação de auditoria
(2) Relatório de vulnerabilidade do resultado da verificação
(3) Tratamento de erros de digitalização
(4) Tipo de ponto de inserção
3.2.3 Configurações de login
Se o endereço digitalizado precisar fazer login (página de back-end), você precisará fornecer o número da conta e a senha
3.2.4 Exemplo de rastreamento de rastreamento
Depois de configurá-lo, ele começou a rastrear
Selecione rastrear nas configurações
Selecione Exibir detalhes para visualizar o conteúdo detalhado
Já rastreado para 6 endereços
Todos os endereços rastreados são registrados no registrador
3.2.5 Exemplo de rastreamento passivo
Escolher rastreamento passivo
Escolha o primeiro, rastreie e audite
Primeiro crie uma configuração de rastreamento
Clique nesses itens e salve
Em seguida, crie uma nova configuração de auditoria
Ele mostra que está rastreando, e a auditoria deve ser realizada após o rastreamento, e nenhuma brecha será relatada antes da auditoria
3.3 Função de varredura ao vivo
Selecione verificação passiva
3.4 Gerar relatório de verificação
Após o término da tarefa, o relatório de BP pode ser exportado (deve ser após o término)
4. Módulo repetidor
4.1 Função do repetidor
1、发起HTTP请求,分析响应
2、重放请求
4.2 Como usar
nova janela,
Ao enviar para este módulo, point send, o conteúdo pode ser modificado
5. Módulo de intrusão
Tradução: invasor
Mais usado para explosão de senha
5.1 Função e princípio do módulo
原理
请求参数进行修改,分析响应内容,获得特征数据
本质:
1、自动化发起HTTP请求
2、基于现成字典或者生成字典
用途
1、猜测用户名、密码等
2、寻找参数、目录等
3、枚举商品ID、验证码等
4、模糊测试(FUZZ)
可替代工具:
wfuzz(全部功能)、dirb(目录扫描)、hydra(暴
破)……
5.2 Senha de combate à força bruta e código de verificação de desvio
Fique atento. . . . . .