Уроки по Burp Suite Pro Часть 1. Начало.
DeepWeb
Покопавшись на форуме в Ресурсах я нашёл чудесный инструмент Burp Suite Pro, однако мануалов на форуме я не нашёл, посему и решил начать цикл статей для новичков.
Набор инструментов:
- Для примеров я буду использовать официальную версию Burp Suite Pro v. 1.7.31 (для обучения вы можете использовать Burp Suite Community Edition , функционал там подрезан но для обучения и понимая сути хватит, кстати Burp Suite Community Edition уже предустановленна в Kali 2018.1 )
- В качестве хост системы будет использованна виртуальная машина(VBox) c Kali 2018.1
- Для того чтобы всё было легально в качестве жертвы будет использованна Metasploitable2 установленная в качестве второй виртуалке в том же Vbox.
Таким образом мы получим нашу маленькую но очень уютную лабораторию.
Если у кого-то возникнет проблема с установкой и настройкой "лаборатории" отпишите мне в личку. При необходимости создам пост с подробным описанием установки и настройки оной .
О том что такое Burp Suite я долго рассказывать не буду описаний в интернете полно. Лично для меня это инструмент с которым я работаю каждый день для тестирования Web-Services & Applications, API и всего что связанно с WEB. Если говорить просто то Burp это как чемоданчик вашего дедушки с помощью которого можно починить, в нашем случае взломать всё что связанно с Web-Application.
Это буде вводная статья где мы рассмотрим установку Burp и настройку браузера для работы с ним.
Установка:
1. Скачиваем установочный файл с официального сайта https://pro.portswigger.net/
2. Далее открываем терминал и переходим в директорию с файлом и прописываем
java –jar burpsuite*ВерсияПрограммы.jar
Если вы используете Burp Suite Community Edition в Kali 2018.1 то вы можете просто запустит его из меню программ.
3. Далее следуем указанием инстолятора.
Для того чтобы подтвердить вашу лицензию понадобиться подключение к сети.
В случае возникновения проблем воспользуйтесь ручным режимом активации.
4. Если всё пройдёт успешно то увидите следующее окно.
Ну вот и всё с установкой мы справились.
После установки можно сразу ринуться тестить всех и вся и обнаружить что всё и вся не тестится, причина проста вначале настроить браузер.
Настройка браузера:
Я буду показывать всё на примере браузера Firefox дефолтный для Kali. По умолчанию Burp использует прокси 127.0.0.1:8080. И есть несколько способов как перевести браузер на использование нужного нам прокси.
1. Средствами браузера то есть вам надо перейти в Settings -> Advanced -> Connection Settings -> Manual Proxy configuration. Я буду использовать его так как на этой виртуальной машине я буду работать только с Burp и только буду его использовать только для статей. Если вы используете Burp на своей основой машине то я рекомендую второй способ, ибо постоянно в настройках менять прокси муторно.
2. Использовать приложения типа Foxy Proxy с помощью которого вы можете создать профиль для прокси соединения. Кому как удобно.
Ну теперь можно приступать к запуску.
Начало работы:
И так после успешной установки первое что вы увидим будет форма создания проекта. Я выберу временный проект, если планируете тестировать несколько проектов одновременно советую вести катологизацию чтобы потом не запутаться.
Мы будем использовать настройки по умолчанию.
Ну что же Burp запущен. Я решил не делать описание всех инструментов и вкладок сразу, я буду делать это по ходу уроков.
Самые любопытные могут почитать документацию на сайте документация очень детальная и структурированная.
Далее переходим во вкладку Proxy и суб вкладку Intercept. И отключаем его, чтобы принимались шли в автоматическом а не ручном режиме. Теперь мы будем видеть все запросы и ответы проходящие через наш прокси каждый запрос можно посмотреть во вкладке HTTP Proxy.
Теперь с помощью браузера переходим на сайт нашей жертвы или в случае работы с Metasploitble2 на IP адрес виртуальной машины.
Если всё настроено правильно то на сайт автоматически отобразиться во вкладке Target.
Ну что же первый шаг сделан. В следующей статье мы рассмотрим базовое сканирование, работу с Repeater и Intruder.