Úvod
V této druhé části série Burp Suite se dozvíte, jak používat server proxy Burp Suite ke sběru dat z požadavků z vašeho prohlížeče. Prozkoumáte, jak funguje zachycovací proxy a jak číst data požadavků a odpovědí shromážděná Burp Suite.
Třetí část průvodce vás provede realistickým scénářem toho, jak byste data shromážděná proxy využili pro skutečný test.
V Burp Suite je integrováno více nástrojů, pomocí kterých můžete shromážděná data používat, ale těm se budeme věnovat ve čtvrté a poslední části série.
Zachycování provozu
Proxy Burp Suite je to, co se nazývá zachycovací proxy. To znamená, že veškerý provoz, který přichází přes proxy, má možnost být zachycen a ručně předán uživatelem proxy. To vám umožní ručně zkontrolovat každý požadavek a zvolit, jak na něj reagovat.
To může být dobré v jednotlivých případech, ale také velmi Uživateli je zřejmé, že něco není v pořádku, pokud to používáte jako součást skutečného profesionálního pentestu.
Pokud tedy chcete zachytit velké množství provozu najednou a buď jej sledovat, jak proudí, nebo jej prohledávat později, můžete vypnout funkci zachycování proxy a umožnit provozu volně proudit.
Chcete-li přepnout odposlech, přejděte na kartu „Proxy“ v horní řadě karet a poté na kartu „Zachytit“ na druhém řádku. Ve výchozím nastavení by na třetím tlačítku mělo být uvedeno „Zachytávání je zapnuto“. Kliknutím na něj zapínáte a vypínáte odposlech. Pro tuto chvíli to nechte zapnuté.
Ve Firefoxu přejděte na svůj web WordPress na adrese localhost . Na kartě byste měli vidět rotující ikonu „načítání“ a Firefox nikam neodchází. Důvodem je, že požadavek na váš webový server zachytil server proxy společnosti Burp.
Zkontrolujte okno svého Burp Suite. Na kartě „Zachycení“ budou nyní údaje o požadavku. Toto jsou informace, které byly odeslány z prohlížeče na váš server WordPress s žádostí o stránku, na kterou jste přešli. Neuvidíte žádný HTML ani nic, co by se vrátilo ze serveru. Údaje o odpovědích můžete získat tak, že přejdete na kartu „Možnosti“ pod „Proxy“ a zaškrtnete „Zachycení odpovědí na základě následujících pravidel“ a „Nebo požadavek byl zachycen.“
V každém případě se můžete podívat na nové karty na obrazovce „Zachytit“. Nejužitečnější pro vás budou Raw, Params a Headers. Všechny v podstatě zobrazují stejná data, ale činí tak v různých formátech. Raw zobrazí nezpracovaný požadavek tak, jak byl odeslán. Parametry zobrazuje všechny parametry odeslané s požadavkem. Zde často snadno najdete užitečné informace, jako jsou přihlašovací údaje. Záhlaví zobrazí pouze záhlaví požadavku. To je užitečné, když požadavek obsahuje HTML.
Chcete-li požadavek předat na server, stiskněte tlačítko „Přeposlat“. Pokud nastavíte Burp tak, aby zachytil odpověď, nyní uvidíte, že vyplňuje vaši obrazovku. Jinak data po odeslání na server zmizí.
Data odpovědí jsou podobná, ale mají některé nové sekce, například „HTML“. Toto obsahuje nezpracované HTML tak, jak bylo odesláno ze serveru. Měla by zde být také karta s názvem „Vykreslit“. Burp se může pokusit vykreslit odpověď HTML, ale nebude obsahovat CSS, JavaScript ani žádné statické prvky. Účelem této funkce je poskytnout vám rychlou představu o struktuře vrácené stránky. Opětovným kliknutím na „Přeposlat“ odešlete odpověď do Firefoxu.
Provoz proxy
Vypněte odposlech. V této další části stačí sledovat provoz, jak přichází přes proxy. Procházejte svůj fiktivní web WordPress. Pokud potřebujete, najděte nějaký nesmyslný obsah, kterým zaplníte web, abyste viděli, jak to vypadá, když uvidíte realističtější tok provozu prostřednictvím Burp Suite.
Veškerý provoz, který prochází přes proxy server Burp Suite, lze nalézt na kartě „Historie HTTP“ pod „Proxy“. Ve výchozím nastavení jsou požadavky uvedeny ve vzestupném pořadí. Kliknutím na # můžete toto změnit a zobrazit nejnovější provoz nahoře v horní části sloupce ID požadavku zcela vlevo v tabulce.
Určitě strávte nějaký čas proklikáváním se po svém webu WordPress a sledujte Burp Suite jako vy. Uvidíte, že se seznam vaší historie HTTP rychle zaplní. Co může překvapit, je množství shromážděných požadavků. Váš prohlížeč obecně odešle více než jeden požadavek na kliknutí. Tyto požadavky se mohou týkat aktiv na stránce nebo mohou přijít jako součást přesměrování. V závislosti na motivech nebo fontech, které jste nainstalovali, můžete dokonce vidět požadavky odcházející do jiných domén. Ve scénáři reálného světa to bude extrémně běžné, protože většina webových stránek využívá nezávisle hostovaná aktiva a sítě pro doručování obsahu.
Prohlížení požadavku
Vyberte požadavek, na který se chcete podívat. Nejlepší je, když najdete nějaký s MIME typem HTML. To znamená, že to byl požadavek na jednu z webových stránek a obsahuje nějaké HTML, na které se můžete podívat.
Když poprvé vyberete jeden, zobrazí se vám požadavek v nezpracované podobě. Nezpracovaný požadavek bude obsahovat všechny informace odeslané z Firefoxu na server. Je to jako žádost, kterou jste zachytili. Tentokrát se na to díváte dodatečně, nikoli v tranzitu.
Určitě můžete použít nezpracovaný požadavek k získání klíčových informací, pokud vám to vyhovuje, ale karty Params a Headers se ve většině případů ukáží mnohem jednodušeji. Podívejte se na parametry. To bude obsahovat všechny proměnné informace, které prohlížeč potřebuje předat prohlížeči. V případě mnoha základních HTML stránek bude pravděpodobně obsahovat pouze soubory cookie. Když se rozhodnete odeslat formulář, informace obsažené ve formuláři se zobrazí zde.
Záhlaví obsahují informace o samotném požadavku, jeho cíli a vašem prohlížeči. V záhlaví bude uvedeno, zda byl požadavek GET nebo POST. Také vám řeknou, jaký server nebo web je kontaktován. Požadavek bude obsahovat informace o prohlížeči, který má server použít, a jazyk, kterým by měl reagovat. Dochází k určitému překrývání a také zde uvidíte některé informace o souborech cookie. Může být také užitečné zjistit, jaké informace nebo typy souborů prohlížeč přijme zpět ze serveru. Ty jsou uvedeny v části „Přijmout.“
Podívejte se na odpověď
Klikněte na kartu „Odpověď“. To vše je velmi podobné žádosti, pokud jde o typ dostupných informací. Stejně jako požadavek je nezpracovaná odpověď nabitá informacemi v poměrně neuspořádaném formátu. Můžete to použít, ale je lepší to rozdělit na ostatní karty.
Místo hledání informací o prohlížeči v záhlavích najdete informace o serveru. Hlavičky vám obecně řeknou, jaký typ HTTP odpovědi byl přijat ze serveru. Najdete zde také informace o tom, jaký typ webového serveru běží a jaký jazyk backendu stránku pohání. V tomto případě je to PHP.
Karta HTML bude obsahovat nezpracovaný kód HTML, který server odeslal prohlížeči k vykreslení stránky. V závislosti na tom, co hledáte, zde můžete nebo nemusíte najít nic zajímavého. To se příliš neliší od zobrazení zdroje stránky z vašeho prohlížeče.
Úvahy na závěr
V pořádku. Nainstalovali jste a nakonfigurovali Burp Suite. Přes něj jste odeslali požadavky z Firefoxu a zachytili je. Také jste povolili Burp Suite shromažďovat více žádostí a vyhodnocovat je pro získání užitečných informací.
V další příručce to použijete ke shromažďování informací pro útok hrubou silou na přihlašovací stránku WordPress.