Có lẽ tới thời điểm hiện tại burpsuite là công cụ
đã rất phổ biến và rất nhiều người thành thạo sử dụng công cụ này. Do đó
bài viết của mình chỉ giới thiệu sơ lược tính năng và thực nghiệm áp
dụng công cụ này trong hoạt động pentest của mình.
Công cụ có cả bản free và pro (thương mại). Bản pro
có tình năng cao cấp hơn là chức năng scan. Tất nhiên bản pro sẽ mất
phí nhưng các bạn hoàn toàn có thể kiếm bản đã được cr*ck trên mạng
không khó khăn mấy. Mình sẽ đi vào một số tính năng chính của bản free
và chức năng scan của Pro
Thiết lập để sử dụng burpsuite
Trước tiên vì burpsuite được viết trên nền java do
đó cần có Java Runtime Enviroment để chạy, lưu ý, các bạn nên tải bản
jre 6 vì bản 7 mới nhất thì burpsuite lại không tương thích (chuối)
Thiết lập trên trình duyệt để các traffic từ máy sẽ đi qua burpsuite
Intercept Traffic
Thử nghiệm với một page bất kỳ ta có thể thấy
traffic sẽ bị chặn tại burp suite trước, ta có thể chọn forward để gói
tin đi tiếp hoặc drop để bỏ gói tin, dĩ nhiên thông tin trong traffic
chúng ta hoàn toàn có thể thay đổi được trước khi forward
Repeater
Đây là một thành phần rất hữu ích của Burp Suite,
nếu bạn cần thử nghiệm thay đổi header nhiều lần thì repeater là những
gì mà bạn cần. Từ header chặn được, các bạn click chuột phải và chọn
send to repeater, sau đó chuyển sang tab repeater sẽ thấy header mình
cần thao tác. Công dụng của repeater là bạn có thể chỉnh sửa header
thoải mái rồi chọn Go sau đó đợi header respone để biết server sẽ làm gì
với header của mình. Nó đặc biệt hữu dụng vì có thể chỉnh sửa, Go nhiều
lần mà không mất công vào lại browser, điền thông tin rồi submit rồi
lại chỉnh trong proxy (quá tốn thời gian).
Encode/Decode
Chức năng mã hóa, giải mã của Brup Suite rất tốt, nó hỗ trợ rất nhiều loại mã và giải mã
Brute Force
Brup Suite có thể kiêm chức năng HTTP
Authentication Testing với tính năng Intruder. Ví dụ, từ trang login
quản trị, mình nhập thông tin bất kỳ là
username=admistrator&password=123456. Trong proxy của Brup Suite sẽ
thấy
Click chuột phải chọn send to intruder
Trong tab positions,chọn attack type là cluster bomb,
bên dưới ta có thấy header với các giá trị được đánh dấu bởi ký tự $,
tuy nhiên chúng ta chỉ cần quan tâm đến username và password, do đó
trước hết hãy clear $ để bỏ hết đi và chỉ add $ bao quan giá trị của 2 biến mà ta quan tâm (ở đây là administrator và 123456) như hình vẽ.
OK như vậy trong tab payload bên cạnh sẽ có 2
payload set (tương ứng với với biến username và password). Tiến hành
nhập giá trị cho biến 1 (username), có thể nhập bằng tay từng giá trị
hoặc load file username mà bạn có
Tiến hành nhập giá trị cho biến 2 (password) tương tự biến 1
Từ menu intruder chọn attack
Kết quả
Status là 302 (Found) có nghĩa là username và
password không đúng (found chứ không phải OK nhé, các bạn cần để ý cái
này). Một số website thì code http khi đăng nhập sai là 302, 401 (access
deny). Còn trong trường hợp nhập đúng sẽ là 200 (OK) hoặc 202
(Accepted). Do đó mã 302 thì phải cố gắng tiếp thôi 
Scanner
Chức năng Scanner chỉ có trong phiên bản Pro, chất lượng scan của Brup Suite là khá tốt, có thể tham khảo thêm tại http://www.sectoolmarket.com/ để có cái nhìn tổng quan chất lượng các công cụ scan
Đặc điểm của brup suite là scan thụ động, chúng ta view site đến đâu nó sẽ scan đến đó, một vài kết quả scan được
Chúng ta cũng có thể cho brup suite scan chủ động một url nào đó qua proxy, chọn actively scan this item
Trên đây là các tính năng chính của Brup Suite, bài
viết tới mình sẽ đi sâu vào ứng dụng của Brup Suite trong các trường
hợp cụ thể.
Bài viết rất hữu ích, bạn làm pentest à?
Trả lờiXóa