Snifer@L4b's: Burp Suite I - Primeros Pasos

Después de esa no muy larga introducción a Burpsuite, en si lo que vendría  la cual solo fue creada para presentación y demostración del micro temario que veremos ahora continuamos con esta entrega de esta herramienta, que recién el año pasado la llegue a conocer por una persona que llegue a admirar y respetar por su conocimiento cuando estuve pasando una certificación que si va bien las cosas espero aprobar bueno debo aprobar!!!.

• Que es Burpsuite 
• Herramientas de Burpsuite la mini navaja Alemana
• Instalación
• Configuración de Burpsuite.
• Configurando el navegador.

Que es Burp Suite

Splash Burp Suite

BurpSuite es una herramienta para realizar el análisis de seguridad de aplicaciones Web, la podemos llamar easy-to-use fácil de uso, BurpSuite  cuenta con la integración de componentes que permiten realizar una auditoria a nuestras paginas mal configuradas y desarrolladas {:)

Burp Suite nos ayuda a verificar la robustes de los mecanismos de autenticación que se tengan implementados, nuestros testigos de inicio de sesión conocidos como tokens de sesión, todo en una sola herramienta ademas tenemos a disposición ataques combinados automáticos.

Burp se encuentra desarrollado y soportado por la empresa PortSwigger LTD. y tiene dos presentaciones las cuales son:

•   Burp Free
•   Burp Professional 

Teniendo en cuenta las siguientes características o features entre ambas, como pueden ver el monto de la herramienta es de $299 por año, para la realización del tutorial usaremos la versión free ya luego ve cada uno que hacer como instalar y configurar lo veremos luego.

• Herramientas de Burpsuite la mini navaja Alemana

La mini navaja, cuenta con varias herramientas  las cuales se encuentran disponibles como pestañas conoceremos cada una de ellas posteriormente.

• Target
• Spider
• Intruder
• Repeater
• Sequencer
• Decoder
• Comparer

Pestañas de Burp Suite

Ahora nos toca instalar, lo haremos bajo Windows en esta ocacion puesto que es lo mismo el uso tanto como para Linux.

• Instalación

La instalación  toma su tiempo por ello es recomendable no instalar, nada que ver veremos como hacer la instalación y configuración bajo Linux y entorno Windows llega a ser lo mismo.

Que necesito para BurpSuite?

1. Espacio en disco 100 MB
2. Memoria Ram mínimo 2gb ya que necesitara mas el desgraciado.
3. Sistema Operativo el que gustes puesto que funciona en Mac, Linux, Windows
4. Aplicaciones adicionales: Java, obviam}ente puesto que esta desarrollado en ello y ademas nuestro navegador Zorro bueno bueno Panda! ya saben de quien hablo de Firefox.

Como indique con anterioridad usaremos la version free, para ello realizamos la descarga respectiva del siguiente enlace http://www.portswigger.net/burp/download.html.

Para Linux ejecutamos de la siguiente forma:

$java -Xmx2g -jar burpsuite_v1.4.01.jar

Pero alguien me grita! que cara!"#!"# signigica -Xmx2g es una bandera que permite incrementan el uso a 2 gb de memoria para que ejecute Java, con ello ya tendremos a Bursp Suite funcionando

BurpSuite funcionando

Y para Windows con un doble Click xD, personalmente prefiero usarlo en Linux pero como por ahora en Windows seguimos :P

• Configuración de Burpsuite.

Ahora toca realizar las configuraciones respectivas en Burp Suite para ello comenzaremos con el proxy el cual trabajara de la siguiente forma.

PD: No soy bueno con el paint Y_Y

Lo que hace el proxy es estar entre la comunicación del navegador con la pagina web así de simple.

Ahora para configurar lo que haremos es acceder a la pestaña Proxy, en la cual realizaremos los cambios respectivos según se de el caso como ven viene con el puerto 8080 por defecto configurado y podemos ver las opciones lo dejamos como esta en la siguiente imagen.

Configuración de Proxy

Luego antes de olvidarnos y meter  la patota, que mayormente a mi me paso fue el de no marcar que intercepte los request como los response! para ello bajamos un poco y marcamos  ambos.

Configurando el navegador.

Ahora llego el turno del navegador, por comodidad usaremos Firefox, la razón de esta elección es porque recomiendan el uso de Burp Suite de firefox como navegador de apoyo.

Para ello nos descargamos el siguiente complemento Foxyproxy standard en el cual realizaremos la configuración del proxy burp  y luego cuando se desee no trabajar con el switcheamos :), asi que continuamos con ello luego de la descarga e instalación del plugin, tendremos el zorrito a lado de la seccion de URL  como se ve a continuación.

Panel de configuracion FoxyProxy

Después de tener la ventanita hacemos click en Add new Proxy luego tendremos la siguiente ventana, donde iremos a la pestaña General y configuramos a nuestro gusto, agregando un nombre y un color ;). El siguiente paso es ir a la pestaña Proxy details y configuramos como se ve a continuación.

Con esto ya casi acabamos de configurar, ahora toca validar el funcionamiento al hacer click en nuestro amigo el zorrito tendremos el siguiente menu habilitamos la opción en BurpSuite el nombre que le dimos, la opcion de Use Proxy BurpSuite for all URL's.

Habilitando el proxy

Ahora toca validar si esta funcionando correctamente BurpSuite con nuestro amigo el Panda, firefox para ello accederemos a www.sniferl4bs.com.

Permission Denied

Tenemos un error, si les da quiere decir que andamos por buen camino con Burp Suite ;) ... Ahora toca trabajar con Burp Suite y habilitar el intercepted tiene que estar como en la siguiente imagen.

Intercepted On

Tras realizar ese pequeño cambio volvemos al navegador y accedemos a ello Burp Suite interceptara la petición y con esto terminamos la configuración de manera correcta.

Burp Suite y Firefox configurados

Algunos detalles mas... por conocer en la próxima entrada, en realidad el día de mañana veremos mas a fondo ya jugando con los request y response, un poco de manipulación de datos.

Regards,
Snifer