Burpsuit: Intruder

Burpsuit: intrús

Celia Catalán


Bones a tots!

Avui parlarem d'una de les eines més utilitzades i potents dins del mateix Burp Suite per fer auditories Webs.

Burp Suite és una eina per provar la seguretat de les aplicacions web. Intercepta, examina i modifica sol·licituds. Permet visualitzar com es forma una petició, a més de detectar vulnerabilitats comunes com a injeccions SQL i Cross-Site Scripting. Proporciona funcionalitats que permeten automatitzar tasques comunes i personalitzar fluxos de feina. És una eina versàtil i poderosa.

L'Intruder és un mòdul intern de Burp Suite, aquest ens permet automatitzar sol·licituds, cosa que és molt útil a l'hora de fer fuzzing o tasques de força bruta.

Ens permet prendre una sol·licitud (generalment capturada al Proxy abans de passar-la a Intruder) i fer-la servir com a plantilla per enviar moltes més sol·licituds amb valors lleugerament alterats de forma automàtica. Per exemple, en capturar una sol·licitud que conté un intent d'inici de sessió, podríem configurar Intruder per intercanviar els camps de nom d'usuari i contrasenya per valors d'una llista de paraules, cosa que ens permet forçar el formulari d'inici de sessió. De manera semblant, podríem passar una llista de paraules per fer fuzzing sobre subdirectoris, endpoints o hosts virtuals. Aquesta funcionalitat és molt semblant a la que ofereixen eines com Wfuzz o Ffuf.

Els usos més comuns que se li donen en intruder són:

  • Fuzzing directoris o paràmetres: Buscant Identificar vulnerabilitats basades en entrades.
  • Enumerar subdominis: Descobrir o augmentar una superfície datac addicional.
  • Inicis de sessió de força brut: Automatitzar combinacions de nom dusuari i contrasenya.

Coneixent ara les seves funcions principals veurem com funciona amb un exemple.

El primer pas serà interceptar una petició a través del proxy que ofereix Burp Suite, per això obrirem el browser que ens ofereix Burp Suite i activarem la intercepció.



Per a la prova farem servir un laboratori de portswigger que ens permetria practicar atacs amb l'Intruder. En aquest cas ens anirem a la pàgina de login on podem fer atac de força bruta sobre el login.



Amb el proxy activat, punxarem sobre log in per interceptar la petició de la pàgina prova que hem fet servir.



Un cop capturada la petició la manem a l'Intruder on farem l'atac.




Des de l'Intruder podem triar quin tipus d'atac volem, podent diferenciar-ne 4 de diferents:

1. Francotirador:

Intruder prendrà cada payload que us passem (d'una llista de payloads) i la col·locarà en cada posició definida per torn. És a dir, passarà cada payload de la llista a cada paràmetre per torn.

Exemple: si tenim una petició que té 2 paràmetres username i password i tenim una llista de paraules que serien: burp, suite i intruder. Les sol·licituds serien així:



2. Ariet:

Pren un conjunt de payloads (per exemple, una llista de paraules). On es col·loca la mateixa càrrega útil a cada posició (paràmetre).

Exemple: si tenim una petició que té 2 paràmetres username i password i tenim una llista de paraules que serien: burp, suite i intruder. Les sol·licituds serien així:


3. Forca:

Pitchfork utilitza un conjunt de payloads per posició i els recorre tots alhora. Idealment, els nostres conjunts de payloads haurien de tenir la mateixa longitud quan es treballa a Pitchfork, ja que Intruder deixarà de provar tan aviat com es completi una de les llistes. Per exemple, si tenim dues llistes, una amb 100 línies i una altra amb 90 línies, Intruder només farà 90 sol·licituds i els deu elements finals de la primera llista no es provaran.

Exemple: si tenim una petició que té 2 paràmetres username i password i tenim dues llistes de paraules que seria la primera llista de noms: 
  • admin
  • arrel
  • Administrador

I la segona llista de contrasenyes:
  • P@ssw0rd
  • també
  • 123456
Les sol·licituds serien així:


4. Bomba de dispersió:

Cluster bomb ens permet escollir múltiples conjunts de payloads: un per posició, però, mentre que Pitchfork itera a través de cada conjunt de payloads simultàniament, Cluster bomb itera a través de cada conjunt de payloads individualment, assegurant-se que es provin totes les combinacions possibles de payloads.

Exemple: si tenim una petició que té 2 paràmetres username i password i tenim dues llistes de paraules que seria la primera llista de noms: 
  • admin 
  • arrel
  • Administrador
I la segona llista de contrasenyes:
  • P@ssw0rd
  • també
  • 123456
Les sol·licituds serien així:


Un cop coneguts els tipus d‟atacs disponibles seguim amb l‟exemple pràctic. En el nostre cas concret triarem el de tipus Sniper ja que aconseguirem l'usuari i la contrasenya per separat. A continuació, afegirem la posició del payload al camp “username”


Un cop seleccionada la posició afegirem el payload que farem servir en l'atac. En aquest cas hem fet servir una llista de nom comuns com a diccionari. 



Amb tot llest podem iniciar latac, que farà peticions a la web amb tots els noms dusuaris proporcionats.


Podem observar com amb el payload alerts la mida de la resposta canvia, això és perquè el missatge d'error és diferent, on ens diu que la contrasenya és incorrecta. D'aquí obtenim que hi ha un usuari anomenat alerts.
Ara farem servir el mateix mètode, però al camp password per trobar la contrasenya de l'usuari identificat


Un cop canviat l'usuari amb què s'intenta iniciar sessió repetim el mateix atac amb la contrasenya canviant la llista a una amb valors típics de contrasenyes febles.


En aquest cas podem detectar el canvi en la resposta ja que és una redirecció, que ens indica que possiblement s'ha validat.

Provem a veure si estem en el correcte a la pàgina de prova:

I amb les credencials obtingudes podem entrar quedant a més a més resolt el laboratori.
De la mateixa manera que he fet aquesta prova amb un laboratori de portswinger hi ha multitud de pàgines i màquines que poden servir per practicar amb l'Intruder. Algunes són:


Fins aquí aquesta introducció en intruder, com podeu suposar, té multitud d'usos i es pot aplicar de maneres molt diferents segons les necessitats de l'auditoria. 
Esperem que us hagi agradat i us veiem al proper lliurament de FluProject.


Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.