Einführung
In diesem zweiten Teil der Burp Suite-Serie lernen Sie, wie Sie den Burp Suite-Proxy verwenden, um Daten von Anfragen Ihres Browsers zu sammeln. Sie erfahren, wie ein abfangender Proxy funktioniert und wie die von Burp Suite gesammelten Anfrage- und Antwortdaten gelesen werden.
Der dritte Teil des Leitfadens führt Sie durch ein realistisches Szenario, wie Sie die vom Proxy gesammelten Daten für einen echten Test verwenden würden.
In Burp Suite sind weitere Tools integriert, mit denen Sie die von Ihnen gesammelten Daten verwenden können, aber diese werden im vierten und letzten Teil der Serie behandelt.
Abfangen des Datenverkehrs
Der Proxy von Burp Suite wird als abfangender Proxy bezeichnet. Das bedeutet, dass der gesamte Datenverkehr, der durch den Proxy kommt, vom Proxy-Benutzer abgefangen und manuell weitergeleitet werden kann. Auf diese Weise können Sie jede Anfrage manuell überprüfen und auswählen, wie Sie darauf reagieren möchten.
Das kann im Einzelfall gut, aber auch sehr sein für einen Benutzer offensichtlich, dass etwas nicht stimmt, wenn Sie dies als Teil eines tatsächlichen professionellen Pentests verwenden.
Wenn Sie also nur eine große Menge an Datenverkehr auf einmal erfassen und ihn entweder überwachen oder später durchforsten möchten, können Sie die Abfangfunktion des Proxys deaktivieren und den Datenverkehr ungehindert fließen lassen.
Um das Abfangen umzuschalten, gehen Sie zur Registerkarte „Proxy“ in der obersten Reihe der Registerkarten und dann zur Registerkarte „Abfangen“ in der zweiten Reihe. Standardmäßig sollte auf der dritten Schaltfläche „Intercept is on“ stehen. Klicken Sie darauf, um das Abfangen ein- und auszuschalten. Lassen Sie es vorerst eingeschaltet.
Navigieren Sie in Firefox zu Ihrer WordPress-Site unter localhost . Sie sollten das sich drehende „Laden“-Symbol auf Ihrem Tab sehen und Firefox geht nirgendwo hin. Dies liegt daran, dass die Anfrage an Ihren Webserver von Burps Proxy abgefangen wurde.
Überprüfen Sie Ihr Burp Suite-Fenster. Auf Ihrer Registerkarte „Abfangen“ befinden sich nun Anforderungsdaten. Dies sind die Informationen, die vom Browser an Ihren WordPress-Server gesendet wurden, um die Seite anzufordern, zu der Sie navigiert sind. Sie werden kein HTML oder irgendetwas sehen, das vom Server zurückgegeben würde. Sie können Antwortdaten abrufen, indem Sie zur Registerkarte „Optionen“ unter „Proxy“ gehen und „Antworten basierend auf den folgenden Regeln abfangen“ und „Oder Anfrage wurde abgefangen“ aktivieren.
In jedem Fall können Sie einen Blick auf die neuen Registerkarten auf dem Bildschirm „Abfangen“ werfen. Raw, Params und Headers sind für Sie am nützlichsten. Sie alle zeigen im Wesentlichen die gleichen Daten an, jedoch in unterschiedlichen Formaten. Raw zeigt die Raw-Anforderung so an, wie sie gesendet wurde. Params zeigt alle mit der Anfrage gesendeten Parameter. Hier sind oft nützliche Informationen wie Anmeldedaten leicht zu finden. Kopfzeilen zeigen nur die Anforderungskopfzeilen an. Dies ist nützlich, wenn die Anfrage HTML enthält.
Um die Anfrage an den Server weiterzuleiten, klicken Sie auf die Schaltfläche „Weiterleiten“. Wenn Sie Burp so eingerichtet haben, dass es die Antwort abfängt, sehen Sie jetzt, dass dies Ihren Bildschirm ausfüllt. Andernfalls verschwinden die Daten, wenn sie an den Server gesendet werden.
Die Antwortdaten sind ähnlich, haben aber einige neue Abschnitte, wie „HTML“. Diese enthält das Roh-HTML, wie es vom Server gesendet wurde. Es sollte auch eine Registerkarte mit dem Namen "Rendern" geben. Burp kann versuchen, die HTML-Antwort zu rendern, aber es enthält kein CSS, JavaScript oder irgendwelche statischen Assets. Diese Funktion soll Ihnen nur einen schnellen Überblick über die Struktur der zurückgegebenen Seite geben. Wenn Sie erneut auf „Weiterleiten“ klicken, wird die Antwort an Firefox gesendet.
Proxy-Traffic
Abhören ausschalten. Überwachen Sie für diesen nächsten Teil einfach den Verkehr, wie er durch den Proxy kommt. Durchsuchen Sie Ihre Dummy-WordPress-Site. Finden Sie bei Bedarf unsinnige Inhalte, mit denen Sie die Website füllen können, damit Sie sehen können, wie es aussieht, wenn der Verkehrsfluss durch die Burp Suite realistischer wird.
Der gesamte Datenverkehr, der über den Proxy von Burp Suite läuft, ist auf der Registerkarte „HTTP-Verlauf“ unter „Proxy“ zu finden. Standardmäßig werden die Anfragen in aufsteigender Reihenfolge aufgelistet. Sie können dies ändern, um den neuesten Verkehr oben anzuzeigen, indem Sie auf # klicken oben in der Anforderungs-ID-Spalte ganz links in der Tabelle.
Verbringen Sie einige Zeit damit, auf Ihrer WordPress-Site herumzuklicken, und sehen Sie sich dabei Burp Suite an. Sie werden sehen, dass sich die Liste Ihres HTTP-Verlaufs schnell füllt. Was überraschen mag, ist die Menge der Anfragen, die gesammelt werden. Ihr Browser stellt im Allgemeinen mehr als eine Anfrage pro Klick. Diese Anfragen können sich auf Assets auf der Seite beziehen oder als Teil von Weiterleitungen kommen. Abhängig von den von Ihnen installierten Designs oder Schriftarten sehen Sie möglicherweise sogar Anfragen, die an andere Domains gehen. In einem realen Szenario wird dies sehr häufig vorkommen, da die meisten Websites unabhängig gehostete Ressourcen und Netzwerke zur Bereitstellung von Inhalten verwenden.
Auf eine Anfrage schauen
Wählen Sie eine Anfrage aus, um sie sich anzusehen. Es ist am besten, wenn Sie einen mit einem MIME-HTML-Typ finden können. Dies bedeutet, dass es sich um eine Anfrage für eine der Seiten der Website handelte und HTML enthält, das Sie sich ansehen können.
Wenn Sie zum ersten Mal eine auswählen, wird Ihnen die Anfrage in ihrer Rohform angezeigt. Die Rohanforderung enthält alle Informationen, die von Firefox an den Server gesendet werden. Das ist genau wie die Anfrage, die Sie abgefangen haben. Diesmal schaust du es dir im Nachhinein an und nicht unterwegs.
Sie können definitiv die Rohanfrage verwenden, um Schlüsselinformationen abzurufen, wenn Sie damit vertrauter sind, aber die Registerkarten Params und Headers werden sich in den meisten Fällen als viel einfacher zu lesen erweisen. Schau dir mal die Parameter an. Diese enthält alle variablen Informationen, die der Browser an den Browser weitergeben muss. Bei vielen einfachen HTML-Seiten werden wahrscheinlich nur Cookies enthalten sein. Wenn Sie sich entscheiden, ein Formular abzusenden, werden die im Formular enthaltenen Informationen hier angezeigt.
Die Header enthalten Informationen über die Anfrage selbst, ihr Ziel und Ihren Browser. Die Header geben an, ob die Anfrage eine GET- oder POST-Anfrage war. Sie teilen Ihnen auch mit, welcher Server oder welche Website kontaktiert wird. Die Anfrage enthält Browserinformationen, die der Server verwenden soll, und mit welcher Sprache er antworten soll. Es gibt einige Überschneidungen, und Sie werden auch hier einige Cookie-Informationen sehen. Es kann auch nützlich sein zu sehen, welche Informationen oder Dateitypen der Browser vom Server zurücknimmt. Diese werden unter „Akzeptieren“ aufgelistet.
Antwort ansehen
Klicken Sie auf die Registerkarte „Antwort“. Dies alles ist der Anfrage in Bezug auf die Art der verfügbaren Informationen sehr ähnlich. Genau wie die Anfrage ist die Rohantwort mit Informationen in einem ziemlich unorganisierten Format geladen. Sie können es verwenden, aber es ist besser, es mit den anderen Registerkarten aufzuschlüsseln.
Anstatt Browserinformationen in den Kopfzeilen zu finden, finden Sie stattdessen Serverinformationen. Die Header teilen Ihnen im Allgemeinen mit, welche Art von HTTP-Antwort vom Server empfangen wurde. Sie finden auch Informationen darüber, welche Art von Webserver ausgeführt wird und welche Backend-Sprache die Seite unterstützt. In diesem Fall ist es PHP.
Die HTML-Registerkarte enthält den rohen HTML-Code, den der Server zum Rendern der Seite an den Browser gesendet hat. Je nachdem, wonach Sie suchen, können Sie hier etwas Interessantes finden oder auch nicht. Dies unterscheidet sich nicht allzu sehr vom Anzeigen der Quelle einer Seite in Ihrem Browser.
Abschlussgedanken
In Ordnung. Sie haben Burp Suite installiert und konfiguriert. Sie haben Anfragen von Firefox weitergeleitet und abgefangen. Sie haben Burp Suite auch erlaubt, mehrere Anfragen zu sammeln und sie auf nützliche Informationen hin auszuwerten.
In der nächsten Anleitung werden Sie dies verwenden, um Informationen für einen Brute-Force-Angriff auf die Anmeldeseite von WordPress zu sammeln.