Burpsuite

¿ Que es ?

Burpsuite es una herramienta de prueba de penetración utilizada para encontrar vulnerabilidades de seguridad en aplicaciones web. es una de las herramientas de prueba de penetración más populares y utilizadas en la industria de la seguridad informática. Burpsuite se compone de varias herramientas diferentes qeu se pueden utilizar juntas para indentificar vulnerabilidades en una aplicación web.

Uso y configuraciones

A la hora de usar burpsuite, se puede usar desde su propio navegador, o lo que es más recomendable es usar la extencion de FoxyProxy la cual podemos configurar para que rediriga todo el trafico http a un puerto de nuestra maquina en el cual estaria escuchando Burpsuite, de esta manera se vuelve más comodo trabajar con la herramienta.

  • Tips y datos

Burpsuite de manera automatica captura las peticiones pero no las respuestas, para capturar las respuestas podemos hacerlo para:

  • Una unica petición click derecho > Do intercept > Response to this request

  • Todas las peticiones:

InterceptarRespuestasSiempreBurp.png

Aveces queremos que los peticiones no se tramiten hasta llegar al servido, normalmente cuando queremos que la peticion flusha precionamos Forward, mientras qeu cuando queremos desecharlas Drop.

Algo que tambien podriamos hacer es crear reglas para remplazar valores, por ejemplo en headers, o body, de peticion o respuesta, pedir que el valor de "200 OK" de remplaze por "201 Ejemplo"

ReglasParaRemplazarValoresBurp.png

  • Configuración de scope

Algo que es muy importante a la hora de trabajar con Burpsuite es configurar el scope de trbajo, es decir, configurar el o los dominios que deseamos que la herramienta capture su trafico para que asi, por ejemplo en el apartado de Site Map, veamos todo el flujo para con el o los dominios ingresados.

ScopeConfigBurp.png

Una vez agregado el scope, deberiamos en la seccion de proxy indicar que solo queremos que se envien items al historial del proxy si esta dentro del scope.

ProxyHistoriaJustScope.png

Herramientas de burpsuite

  • Proxy

    Es la herramienta principal de Burpsuite y actúa como un intermediario entre el navegador web y el servidor web. Esto permite a los usuarios interceptar y modificar las solicitudes y respuestas HTTP y HTTPS enviadas entre el navegador y el servido. El proxy también es útil para la identificación de vulnerabilidades, ya que permite a los usuarios examinar el tráfico y analizar las solicitudes y respuestas.

  • Scanner

    Es una herramienta de prueba de vulnerabilidades automatizada que se utiliza para identificar vulnerabilidades en aplicaciones web. El Scanner utiliza técnicas de exploración avanzadas para detectar vulnerabilidades de la aplicación web, como injecciones SQL, cross-site scripting (XSS), vulnerabilidadesd de seguridad de la capa de aplicación y más.

  • Repeater

    Es una herramienta que permite a los usuarios reenviar y repetir solicitudes HTTP y HTTPS. Esto es útil para probar diferentes entradas y verificar la respuesta del servidor. También es útil para la identificación de vulnerabilidades, ya que permite a los usuarios probar diferentes valores y detectar respuestas inesperadas.

  • Sequencer

    Es una herramienta que permite a los usuarios analizar la aleatoriedad y predictibilidad de los tokens de sesión o caulquier otro valor generado por una apliación web. Esto es útil para evaluar la calidad de la generación de tokens de sesión y para identificar posibiles vulnerabilidades relacionadas con la previsiibilidad de estos tokens. Se puede hacer uso de esto en peticiones en tiempo real que genera y tramita Burpsuite a la web o de muestras de tokens o valores generados que querramos cargar (Manual load).

  • Intruder

    Es una herramienta que se utiliza para automatizar ataques de fuerza bruta. Los usuarios pueden definir diferentes payloads para diferentes partes de la solilcitud, como la URL, el cuerpo de la solicitud y las cabeceras. Posteriormente, Intruder automatiza la ejecución de solicitudes utilizando diferentes payloads y los usuarios pueden examinar las respuestas para identificar vulnerabilidades.
    Los payloads en esta sección se pueden agregar seleccionando el campo el cual nos interesa volver payload y agregando la función de Add §

Los tipos de ataques de fuerza bruta con los que cuenta Burpsuite son los siguientes:

  • Sniper

Consiste en un ataque de fuerza bruta en el cual se ingresa un payload y posteriormente se ingresa los valores por los cuales se va a remplazar dicho payload, de manera que si quisieramos hacer fuerza bruta para el usuario admin probando diversas contraseñas, el ataque sniper seria la mejor opción.

Ejemplo:

admin: password1

admin: password2

admin: password3

admin: password4

  • Battering ram

Consiste en un ataque de fuerza bruta en el cual se ingresan varios payloads para posteriormente ingresar un diccionario el cual probara para todos los payloads el mismo valor, en caso de que querramos verificar si el usuario tiene la mala costumbre de setear contraseñas iguales a su usuario, esta podria ser el escenario perfecto para utilizar el ataque Battering ram.

Ejemplo:

user1:user1

user2:user2

user3:user3

user4:user4

  • Pitchfork

Consiste en un ataque de fuerza bruta en el cual se ingresan varios payloads donde posteriormente se van a ingresar dos diccionarios pero en este caso de probara la primera linea de ambos diccionarios, para posteriormente la convinación de la segunda línea de ambos y así sucesivamente, en ocaciones el ataque pitchfork podria llegar a ser util.

Ejemplo:

user1:password1

user2:password2

user3:password3

user4:password4

user5:password5

user6:password6

user7:password7

  • Cluster Bomb

Consiste en un ataque de fuerza bruta en el cual se se ingresan dos payloads para posteriormente haciendo uso de dos diccionarios los cuales se van a probar todas las combinaciones posibles entre el payload 1 y el payload 2, en este caso si quisieramos hacer un ataque de fuerza bruta para multiples usuarios con multiples contraseñas, el ataque Cluster Bomb seria la mejor opción.

Ejemplo:

user1: password1

user1: password2

user1: password3

user2: password1

user2: password2

user2: password3

user3: password1

........... etc .............

  • Comparer

    Es una herramienta que se utiliza para comparar dos solicitudes HTTP o HTTPS. Esto es útil para detectar diferencias entre las solilcitudes y respuestas y analizar la seguridad de la aplicación.

Extensiones

Tambien es importante mencionar que esta herramienta acepta instalación de plugins los cuales se pueden buscar e instalar de manera facil desde la propia interfaz de Burpsuite:

ExtensionsBurp.png

Analizis de funcionamiento interno de herramientas

Algo para lo que tambien puede ser muy util Burpsuite, es para interceptar el envio de peticiones que realizan herramientas automaticas como SQLMap, wfuzz, gobuster, las cuales son herramientas que pueden servir tanto para la Fase de Reconocimiento como de ataque.
De esta manera asi como estas herramientas contemplan en su codigo un parametro para ingresar un proxy, puede haber muchas otras herramientas las cuales tambien lo acepten y de esa manera utilizar Burpsuite para analizar aquellas peticiones HTTP o HTTPS que se tramitan de manera automatizada para el escaneo o explotación

Interactive Graph
Table Of Contents
Burpsuite
¿ Que es ?
Uso y configuraciones
Tips y datos
Una unica petición click derecho > Do intercept > Response to this request
Todas las peticiones:
Configuración de scope
Herramientas de burpsuite
Proxy
Scanner
Repeater
Sequencer
Intruder
Sniper
Consiste en un ataque de fuerza bruta en el cual se ingresa un payload y posteriormente se ingresa los valores por los cuales se va a remplazar dicho payload, de manera que si quisieramos hacer fuerza bruta para el usuario admin probando diversas contraseñas, el ataque sniper seria la mejor opción.
admin: password1
admin: password2
admin: password3
admin: password4
Battering ram
Consiste en un ataque de fuerza bruta en el cual se ingresan varios payloads para posteriormente ingresar un diccionario el cual probara para todos los payloads el mismo valor, en caso de que querramos verificar si el usuario tiene la mala costumbre de setear contraseñas iguales a su usuario, esta podria ser el escenario perfecto para utilizar el ataque Battering ram.
user1:user1
user2:user2
user3:user3
user4:user4
Pitchfork
Consiste en un ataque de fuerza bruta en el cual se ingresan varios payloads donde posteriormente se van a ingresar dos diccionarios pero en este caso de probara la primera linea de ambos diccionarios, para posteriormente la convinación de la segunda línea de ambos y así sucesivamente, en ocaciones el ataque pitchfork podria llegar a ser util.
user1:password1
user2:password2
user3:password3
user4:password4
user5:password5
user6:password6
user7:password7
Cluster Bomb
Consiste en un ataque de fuerza bruta en el cual se se ingresan dos payloads para posteriormente haciendo uso de dos diccionarios los cuales se van a probar todas las combinaciones posibles entre el payload 1 y el payload 2, en este caso si quisieramos hacer un ataque de fuerza bruta para multiples usuarios con multiples contraseñas, el ataque Cluster Bomb seria la mejor opción.
user1: password1
user1: password2
user1: password3
user2: password1
user2: password2
user2: password3
user3: password1
........... etc .............
Comparer
Extensiones
Analizis de funcionamiento interno de herramientas