Post7 n

Burp Suite: Potente herramienta para Pentesting Web.


Perfil
Samuel Esteban

Siguiendo con el top 10 de herramientas de Kali Linux en esta oportunidad hablaremos sobre una muy buena herramienta para Pentesting Web, su nombre es Burp Suite. Esta herramienta es una muy completa Suite la cual permite realizar un Pentesting mucho más detallista en comparación con otras herramientas.


Burp Suite contiene los siguientes componentes clave:

  • Una araña o spider con reconocimiento de aplicaciones, para el rastreo de recursos de la aplicación.
  • Un escáner de aplicaciones web avanzadas para automatizar la detección de numerosos tipos de vulnerabilidad (esta función esta disponible comprando la licencia del software)
  • Un Proxy intercepta, lo que le permite inspeccionar y modificar el tráfico entre el navegador y la aplicación de destino.
  • Una herramienta de intrusión, para realizar poderosos ataques personalizados de encontrar y explotar vulnerabilidades inusuales.
  • Una herramienta de repetidor, para manipular y volver a enviar peticiones individuales.
  • Una herramienta secuenciador, para probar la aleatoriedad de las credenciales de sesión.
  • Capacidad de guardar su trabajo y reanudar el trabajo más tarde.
  • Extensibilidad, lo que le permite escribir fácilmente tus propios plugins, para realizar tareas complejas y personalizadas muy dentro de Burp.


Estructura de Burp Suite

En primer lugar lo que haremos será utilizar Burp Suite como Proxy, para ello seleccionaremos la opción Proxy, luego Options.


Proxy Activado en Burp Suite

Es importante verificar que el Proxy se encuentre a la escucha, ya que si  esta activado no se podrá realizar la configuración adecuada. Posteriormente en el navegador (en esta caso Firefox) vamos a la pestaña edit -> preferences -> advanced -> Network -> settings y posteriormente configuramos nuestro Proxy de la siguiente manera:


Configurando el Proxy en el navegador


¿Para qué se realiza esto?

Básicamente esto se realiza para poder interceptar todo lo que esté sucediendo dentro del navegador.

Ahora, dentro del navegador nos dirigiremos a www.backtrackacademy.com y observaremos lo siguiente:


Interceptando la conexión a www.google.cl

Con esto estamos interceptando la petición antes de ser enviada hacia el servidor.

El campo  indica el método que se está utilizando para realizar la conexión (podría ser HEAD, OPTIONS, TRACE, POST, PUT, DELETE).

  • El campo Host indica hacía que url se conectará.
  • El campo User-Agent: hace referencia al browser que se está utilizando.
  • El campo Accept: hace referencia al tipo de formato que se está ejecutando
  • El campo Accept-Language hace referencia al tipo de idioma con el que se está trabajando.
  • El campo Accept-Encoding Determina la codificación (compresión) que se espera de la respuesta.
  • Es posible editar esta petición para enviarla al servidor cualquier forma.

Por ejemplo:


Modificando la petición web

Al modificar y enviar esta petición web (con el botón Forward) al servidor, ahora el browser abrirá el recurso www.backtrackacademy.com/users/sign_up

Ahora enviaremos esta petición al Repeater, para poder ejecutar peticiones dentro de Burp Suite y así poder controlar el comportamiento, para ello es necesario hacer click derecho dentro de la pantalla de Burp Suite y seleccionar la opción “Send to Repeater” y de esta manera esta petición se enviará al Repeater.


Repeater Burp Suite

En el Repeater se puede observar que en la esquina superior derecha aparece el sitio web y en la parte de Request aparece la petición que fue enviada por defecto, en Response aparecerá la Respuesta de la petición enviada, las cabeceras, el código fuente, e información adicional. Posteriormente ingresaremos al mismo recurso de la aplicación a través del Repeater y veremos la respuesta que nos arroja en la venta de Response.


Repeater en Acción

Cada una de las opciones del Response, representan lo siguiente:

  • Raw representa el response de la petición enviada, con su respectivo código fuente.
  • Headers, corresponde a las cabeceras de la respuesta del servidor.
  • Hex, representa el código hexadecimal de la opción Raw.
  • HTML, muestra el código fuente de la petición enviada.
  • Render, nos muestra el sitio web renderizado.

Esto es muy útil ya que al poder controlar las peticiones a nuestro antojo es posible detectar información sensible, ver cómo se comporta el sitio web y encontrar vulnerabilidades en concreto.

Finalmente veremos el Intruder de Burp Suite, a través de esta opción podremos realizar un ataque de fuerza bruta online a un sitio web, esto nos ayudará bastante en el proceso de ataque automatizado.

En primer lugar tenemos un sitio WordPress, el cual es el siguiente:


WordPress a Atacar

Tenemos el usuario del WordPress el cual es rblack (En esta etapa no veremos cómo obtener el usuario de este CMS, sin embargo si no sabes cómo obtenerlo te recomiendo buscar información de la herramienta Wpscan).

Ahora con el Proxy configurado intentaremos iniciar una sesión con el usuario rblack y una contraseña cualquiera.


Petición del WordPress en Burp Suite


Posteriormente, esta petición la enviamos al Intruder,  para esto hacemos click derecho nuevamente dentro de la pantalla de Burp Suite  y posteriormente seleccionar la opción “Send to Intruder”.

Intruder de Burp Suite

Luego vamos a la opción Positions donde podremos ordenar los parámetros de ataque.


Parámetros de Ataque

Los parámetros que nos interesan son los del POST, como el parámetro log, pwd y wp-submit. Se deberán quitar el  resto de los parámetros, para ello se deberá seleccionar cada parámetro y luego elegir la opción Clear $ .

Parámetros Innecesarios Quitados

Luego en la opción Attack Type seleccionamos Cluster bomb, este ataque nos permitirá setear datos en cada uno de los parámetros seleccionados (en este caso 3). Posteriormente vamos a la opción Payloads donde tenemos lo siguiente:


Opción Payloads de Intruder

En payload set nos aparecen los parámetros que dejamos configurados en Positions para realizar el ataque:

Parámetro 1  = log

Parámetro 2 = pwd

Parámetro 3 = wp-submit

En el primer payload set  en la opción ADD, añadimos nuestro nombre de usuario.


Añadiendo el Nombre de Usuario

En el payload set número 2 (que sería en este caso el password) seleccionaremos un diccionario, para esto seleccionamos la opción load y utilizaremos un diccionario para dicho ataque.


Añadiendo Diccionario para el Ataque

En el tercer payload set añadiremos el valor de wp-submit, que este caso es “Log+In”.

Finalmente en la pestaña superior seleccionamos la opción Intruder -> start attack y lanzamos el ataque. Al lanzar dicho ataque nos aparecerá una nueva ventana como la siguiente:


Ataque de Fuerza Bruta a WordPress

Como es posible visualizar en la imagen anterior se empezó a ejecutar el ataque de fuerza bruta hacía el gestor de contenido WordPress.

¿Cómo funciona este ataque fuerza bruta? Básicamente lo que sucede es que al ir probando el usuario y una palabra del diccionario, el servidor nos devuelve una respuesta de 200, esto quiere que el recurso existe sin embargo esto no significa que se logró realizar un ataque exitoso, por lo general cuando un usuario inicia una sesión en un sitio web es redireccionado a otro recurso de la aplicación. El código http de redirección se encuentra en el rango de 300 hacía adelante ejemplo (301, 302,303). WordPress maneja este tipo código en su redirección, por ende podremos deducir que una vez que el código de respuesta sea distinto de 200 e igual a 301,302 o 303, nos indicará que se logró iniciar la sesión, como se puede ver a continuación:


Ataque de Fuerza Bruta exitoso

Como es posible visualizar, la respuesta del servidor fue de 302, por lo tanto podemos asumir que se logró iniciar una sesión de manera correcta con la contraseña sweet16. Finalmente verificamos si esto es correcto intentando iniciar una sesión en el Browser:


Dentro del Panel de WordPress

Burp Suite  es una herramienta bastante poderosa, que nos ayuda a controlar de las peticiones hacia el servidor, en este documento pudimos observar lo potente que puede ser esta herramienta.



Artículos que te pueden interesar