Burp Suite I - Primeros Pasos

21 comments
Después de esa no muy larga introducción a Burpsuite, en si lo que vendría  la cual solo fue creada para presentación y demostración del micro temario que veremos ahora continuamos con esta entrega de esta herramienta, que recién el año pasado la llegue a conocer por una persona que llegue a admirar y respetar por su conocimiento cuando estuve pasando una certificación que si va bien las cosas espero aprobar bueno debo aprobar!!!.

    • Que es Burpsuite 
    • Herramientas de Burpsuite la mini navaja Alemana
    • Instalación
    • Configuración de Burpsuite.
    • Configurando el navegador.


Que es Burp Suite



Splash Burp Suite

BurpSuite es una herramienta para realizar el análisis de seguridad de aplicaciones Web, la podemos llamar easy-to-use fácil de uso, BurpSuite  cuenta con la integración de componentes que permiten realizar una auditoria a nuestras paginas mal configuradas y desarrolladas {:)



Burp Suite nos ayuda a verificar la robustes de los mecanismos de autenticación que se tengan implementados, nuestros testigos de inicio de sesión conocidos como tokens de sesión, todo en una sola herramienta ademas tenemos a disposición ataques combinados automáticos.

Burp se encuentra desarrollado y soportado por la empresa PortSwigger LTD. y tiene dos presentaciones las cuales son:

  •   Burp Free
  •   Burp Professional 
Teniendo en cuenta las siguientes características o features entre ambas, como pueden ver el monto de la herramienta es de $299 por año, para la realización del tutorial usaremos la versión free ya luego ve cada uno que hacer como instalar y configurar lo veremos luego.

  • Herramientas de Burpsuite la mini navaja Alemana

La mini navaja, cuenta con varias herramientas  las cuales se encuentran disponibles como pestañas conoceremos cada una de ellas posteriormente.
  • Target
  • Spider
  • Intruder
  • Repeater
  • Sequencer
  • Decoder
  • Comparer

Pestañas de Burp Suite

Ahora nos toca instalar, lo haremos bajo Windows en esta ocacion puesto que es lo mismo el uso tanto como para Linux.
  • Instalación

La instalación  toma su tiempo por ello es recomendable no instalar, nada que ver veremos como hacer la instalación y configuración bajo Linux y entorno Windows llega a ser lo mismo.

Que necesito para BurpSuite?

  1. Espacio en disco 100 MB
  2. Memoria Ram mínimo 2gb ya que necesitara mas el desgraciado.
  3. Sistema Operativo el que gustes puesto que funciona en Mac, Linux, Windows
  4. Aplicaciones adicionales: Java, obviam}ente puesto que esta desarrollado en ello y ademas nuestro navegador Zorro bueno bueno Panda! ya saben de quien hablo de Firefox.

Como indique con anterioridad usaremos la version free, para ello realizamos la descarga respectiva del siguiente enlace http://www.portswigger.net/burp/download.html.

Para Linux ejecutamos de la siguiente forma:

$java -Xmx2g -jar burpsuite_v1.4.01.jar

Pero alguien me grita! que cara!"#!"# signigica -Xmx2g es una bandera que permite incrementan el uso a 2 gb de memoria para que ejecute Java, con ello ya tendremos a Bursp Suite funcionando

BurpSuite funcionando
Y para Windows con un doble Click xD, personalmente prefiero usarlo en Linux pero como por ahora en Windows seguimos :P


  • Configuración de Burpsuite.

Ahora toca realizar las configuraciones respectivas en Burp Suite para ello comenzaremos con el proxy el cual trabajara de la siguiente forma.

PD: No soy bueno con el paint Y_Y


Lo que hace el proxy es estar entre la comunicación del navegador con la pagina web así de simple.

Ahora para configurar lo que haremos es acceder a la pestaña Proxy, en la cual realizaremos los cambios respectivos según se de el caso como ven viene con el puerto 8080 por defecto configurado y podemos ver las opciones lo dejamos como esta en la siguiente imagen.

Configuración de Proxy
Luego antes de olvidarnos y meter  la patota, que mayormente a mi me paso fue el de no marcar que intercepte los request como los response! para ello bajamos un poco y marcamos  ambos.


Configurando el navegador.

Ahora llego el turno del navegador, por comodidad usaremos Firefox, la razón de esta elección es porque recomiendan el uso de Burp Suite de firefox como navegador de apoyo.
Para ello nos descargamos el siguiente complemento Foxyproxy standard en el cual realizaremos la configuración del proxy burp  y luego cuando se desee no trabajar con el switcheamos :), asi que continuamos con ello luego de la descarga e instalación del plugin, tendremos el zorrito a lado de la seccion de URL  como se ve a continuación.


Panel de configuracion FoxyProxy
Después de tener la ventanita hacemos click en Add new Proxy luego tendremos la siguiente ventana, donde iremos a la pestaña General y configuramos a nuestro gusto, agregando un nombre y un color ;). El siguiente paso es ir a la pestaña Proxy details y configuramos como se ve a continuación.



Con esto ya casi acabamos de configurar, ahora toca validar el funcionamiento al hacer click en nuestro amigo el zorrito tendremos el siguiente menu habilitamos la opción en BurpSuite el nombre que le dimos, la opcion de Use Proxy BurpSuite for all URL's.

Habilitando el proxy

Ahora toca validar si esta funcionando correctamente BurpSuite con nuestro amigo el Panda, firefox para ello accederemos a www.sniferl4bs.com.


Permission Denied
Tenemos un error, si les da quiere decir que andamos por buen camino con Burp Suite ;) ... Ahora toca trabajar con Burp Suite y habilitar el intercepted tiene que estar como en la siguiente imagen.


Intercepted On
Tras realizar ese pequeño cambio volvemos al navegador y accedemos a ello Burp Suite interceptara la petición y con esto terminamos la configuración de manera correcta.

Burp Suite y Firefox configurados

Algunos detalles mas... por conocer en la próxima entrada, en realidad el día de mañana veremos mas a fondo ya jugando con los request y response, un poco de manipulación de datos.

Regards,
Snifer

21 comentarios

  1. Está bien la entrada, espero algo bastante más avanzado en la serie.
    PD: windolero!!
    Saludos y espero la serie.
    Desde: underc0de

    ResponderEliminar
  2. xD Windolero lero U_u porque no ando con mi equipo!! xD

    ResponderEliminar
  3. mi nombre es nico . buenas tardes , hice todo al pie de la letra pero cuando pincho en el zorrito no me parecec burp ... lo tengo minimazo . lo estoy haciendo en ubuntu mate 14.04

    ResponderEliminar
    Respuestas
    1. No tiene que aparecerte Burpsuite tu tienes que configurar esos datos Nico.

      Regards,
      Snifer

      Eliminar
  4. este es el tutorial numero 7 que leo que no vale para nada, el proxy no funciona dice que esta rechazando la conexion asi que a la papelera el articulo

    ResponderEliminar
    Respuestas
    1. Juan Carlos, que pena!! que no te sirva raro porque a muchos si les funciona!!! si no te serva el articulo mandelo a la papelera!!! no hay problema por otra parte quizas sea en la capa de Batman el error.

      Regards,
      Snifer

      Eliminar
  5. Hola buenas.
    despues de configurar le zorrito cada vez que intento buscar cualquier cosa me aparece "This Connection is Untrused".
    Alguna idea de como solucionar eso?

    ResponderEliminar
    Respuestas
    1. No tienes configurado el certificado digital para que intercepte conexion por SSL, o bien procede a desactivar para tus busquedas.

      Regards,
      Snifer

      Eliminar
  6. En el ultimo paso aparece esto, me aparece diferente que a ti al final, pero la pagina solo queda cargando, no me dice PERMISSION DENIED

    GET / HTTP/1.1
    Host: www.sniferl4bs.com
    User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: es-MX,es-ES;q=0.8,es-AR;q=0.7,es;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Connection: close
    If-Modified-Since: Wed, 06 Jan 2016 02:15:19 GMT
    If-None-Match: "a42ce924-c795-49b1-909e-e8c1034e4947"

    ResponderEliminar
    Respuestas
    1. Forward! :D continua la petición recuerda que estas interceptando una petición y mientras no continues el flujo se quedara como se encuentra.

      Regards,
      Snifer

      Eliminar
  7. Buenas lo echo como el tutorial
    Lo de proxy me dice error de conecion o zona no segura que hago

    ResponderEliminar
    Respuestas
    1. Estas realizandolo a un https? si es asi debes de configurar el certificado digital de burp para lograr interceptar deberia de funcionar porque el proceso es tal cual en la nueva version de Burp.

      Regards,
      Snifer

      Eliminar
  8. Ami me aparece un error de Connection error

    ResponderEliminar
    Respuestas
    1. En que parte? si podrias dar mas detalles la configuración es simple y directa deberia de funcionar a la primera.

      Regards,
      Snifer

      Eliminar
    2. Error: Connection refused
      Alerts: java.net.SocketException: connection refused

      Que puedo hacer?

      Eliminar
  9. Me sale el erro: "connection refused" y en "Alerts" aparece "java.net.SocketException: connection refused".

    Que puedo hacer??

    ResponderEliminar
    Respuestas
    1. Estimado basta con que lo hagas una vez y no mandes tanto! se te respondera y te respondo de la misma manera que lo hice por correo.

      Estan tratanto de auditar una pagina con https?

      Si es asi tienes que generar el certificado digital correspondiente y agregarlo al navegador.

      El puerto del proxy es correcto.
      Tu version de Burp Free o de paga.

      Regards,
      Snifer

      Eliminar
  10. Una consulta, hay forma de que yo pueda utilizar el proxy de burpsuite desde otra pc de mi red lan?

    ResponderEliminar
    Respuestas
    1. Si entiendo lo que deseas hacer es que puedas auditar desde la PC A un sistema que se encuentra corriendo en la PC C?

      Si es asi basta con que configures el proxy en el navegador, la dirección IP donde tengas el BurpSuite a la escucha. Es asi tu duda, de no ser así comenta y con gusto te colaboro.

      Regards,
      Snifer

      Eliminar
  11. Muy interesante amigo, me esta funcionando perfecto estoy usando kubuntu pero quiero aprender muchas cosas mas de esta herramienta si tienes algunos link que me puedan ayudar te lo agradeceria bastante, mientras seguire buscando en google

    ResponderEliminar
    Respuestas
    1. En el blog se tiene 30 entradas si vez la entrada del dia Jueves podras ver toda la serie de entradas.

      Regards,
      Snifer

      Eliminar