Después del post que publiqué ayer relacionado con la instalación de dvwa como método de práctica de hackeo web, necesitaremos escanear las vulnerabilidades de la aplicación. En este caso os vamos a enseñar a utilizar Burp Suite.
Qué es Burp Suite
Burp Suite es una plataforma integrada para la realización de pruebas de seguridad en aplicaciones web. Consta de diversas herramientas que funcionan perfectamente juntas para apoyar los procesos de prueba, desde los análisis iniciales de la superficie de la aplicación hasta la búsqueda y explotación de vulnerabilidades de seguridad en dicha aplicación.
Esta plataforma ofrece un control completo, lo que permite combinar entre técnicas automatizadas y métodos manuales, haciendo el trabajo de búsqueda mucho más rápido. Podemos visitar la página oficial desde el siguiente enlace.
Componentes de Burp Suite
Esta plataforma esta compuesta de diferentes componentes clave que son
- Un proxy que intercepta, permitiendo inspeccionar y modificar el tráfico entre el navegador y la aplicación web que analicemos.
- Un escáner de aplicaciones avanzadas para automatizar la detección de muchos tipos de vulnerabilidades (sólo en la versión pro).
- Una herramienta repetidora para manipular y reenviar peticiones individuales.
- Una araña reconocedora de diferentes aplicaciones (frameworks, cms, etc) para el rastreo de contenido y funcionalidades.
- Una herramienta de intrusión, para la realización de poderosos ataques y la explotación de vulnerabilidades de seguridad.
- Una herramienta de secuenciador para pruebas de ataques de fuerza bruta en las credenciales de sesión.
- Un comparador de ficheros o herramienta diff integrada en la plataforma.
- Posibilidad de añadir plugins extra y la creación de tareas complejas y personalizadas.
- Al igual que otras plataformas del mismo campo, permite guardar el trabajo y reanudarlo en el mismo punto donde se dejó (sólo en la versión pro).
Descarga de Burp Suite
Una vez aclarado su funcionamiento y las herramientas de que se compone, toca descargar esta plataforma. Para los usuarios que utilicen Kali Linux, esta plataforma se incluye por defecto en su instalación pero, para el resto pueden descargarla desde aquí.
Burp Suite cuenta con una versión gratuita y una versión de pago, como siempre las versiones live están limitadas a un uso o creación de proyectos pero, para este primer contacto nos vale con la versión gratuita.
Primeros Pasos
Una vez abierto Burp Suite, lo primero que debemos hacer es configurar nuestro proxy para poder empezar a interceptar el tráfico y comenzar nuestras pruebas.
Accedemos a la sección proxy y posteriormente a la sección options.
Como vemos en la imagen, por defecto ya tenemos configurada la aplicación para interceptar los paquetes en la dirección de loopback por el puerto 80 pero, si pinchamos en el botón add, podemos especificar nuevas interfaces o direcciones específicas que interceptar.
Una vez seleccionado el proxy e iniciados los servicios de Burp Suite necesitamos configurar el navegador para poder capturar el tráfico a través de él. En la mayoría de navegadores simplemente es abrir la configuración, acceder a las conexiones de red y seleccionar el checkbox para habilitar el soporte de proxy, después indicar la dirección de loopback con “localhost” e indicar el puerto establecido en Burp Suite (por defecto el puerto 8080).
Una vez establecida la configuración en nuestro navegador, insertamos la url de destino para empezar a capturar paquetes. Por defecto Burp Suite establece el interceptador en el valor ON pero, por si acaso no es así o lo hemos cambiado, podemos hacerlo desde la pestaña proxy y después intercept. De esta forma capturaremos todos los paquetes que se envíen y reciban en la página.
Esta características es muy útil pero, independientemente de que el interceptador esté desactivado, en la pestaña historial, se guardarán todas las peticiones que se realicen y que podremos revisar y probar en el momento que deseemos.
Bueno vamos a realizar unas pruebas para mostrar como se interceptarían e interpretarían los paquetes obtenidos.
Vamos a desactivar el interceptador y vamos a ver como se haría desde el historial de nuestro proxy.
Ahora que ya tenemos el tráfico capturado con algunos parámetros vamos a hacer algunas pruebas. Para ello hacemos clic derecho sobre el paquete que deseamos probar y seleccionar ‘Send to repeater’ para enviarlo a la repetidora.
Una vez enviado el paquete vamos a hacer algunas inspecciones manuales rápidas.
En el repetidor podemos realizar los cambios que queramos a la solicitud y volver a enviarlo para analizar los resultados obtenidos del servidor. Si nos fijamos en la imagen podemos ver que destacan los parámetros de la petición en los vectores (color azul) y los datos que podemos manipular (en color rojo). Una vez modificados los datos podemos enviar la solicitud pinchando en el botón GO.
En este caso hemos hecho una prueba con google y como es lógico la seguridad es muy grande. Para poder dar un ejemplo más claro de la potencia de esta plataforma, y como ya explicamos en un post anterior como instalar la aplicación de pruebas de seguridad dvwa, vamos a utilizar la máquina virtual en la que está instalada para dichas pruebas.
Para comprobar si hay alguna vulnerabilidad, podríamos estar haciendo pruebas con el repetidor hasta encontrar algo claro pero, aquí es donde empieza a entrar en juego la herramienta Intruder con la cual podemos crear una carga de datos personalizados permitiendo automatizar el proceso de búsqueda.
Para enviar los paquetes a la herramienta hacemos click derecho en mitad del texto de la solicitud (request) y seleccionamos Send to Intruder.
Una vez lo hayamos enviado, accedemos a la pestaña Intruder, la cual está dividida en 4 apartados.
- Objetivo (target) -> desde esta sección podemos especificar la dirección de host, puerto, protocolo e iniciar un ataque.
- Positions (Posiciones) -> esta sección es crucial para entender el proceso, es donde marcamos nuestras peticiones. En ella identificamos las piezas de la solicitud donde queramos inyectar nuestro código. La herramienta utiliza el símbolo §§ para marcar el inicio y final del texto contenido en cada variable.
- Payloads (Carga útil) -> desde esta sección podremos especificar que tipo de ataque queremos realizar.
- Options -> opciones de configuración
Accedemos a la pestaña positions para observar los datos obtenidos y modificar los mismos.
Vale, ya tenemos los datos modificados pero, ¿como hacemos ahora el ataque?
Para finalizar la configuración se debe seleccionar también el tipo de ataque que queremos utilizar y configurar los ajustes para el tipo de ataque, es decir, lo que inyectará nuestro payload en cada posición durante las pruebas. En este caso tenemos 4 tipos de ataques disponibles que serían:
- sniper (francotirador) -> Este tipo de ataque permite inyectar una carga útil sólo en las posiciones seleccionadas insertando el payload uno a uno en cada una de las posiciones escogidas, repitiendo el proceso hasta realizar pruebas con todos los tipos de payload utilizados.
- Battering ram (ariete) -> Es similar al ataque sniper pero, la diferencia que hay entre ambos es que si se han seleccionado varias posiciones a la vez, realiza la prueba de cada tipo de payload en todas ellas al mismo tiempo, acelerando las pruebas. Este ataque se realizaría cuando se desea realizar la misma comprobación en varias posiciones.
- Pitchfork (horca) -> Este tipo de ataque permite probar múltiples payloads basados en la posición de ataque, con un máximo de 8. Permite especificar que tipo de payload queremos lanzar en cada uno de los datos pero, con la característica de que al igual que el ataque sniper, realiza las pruebas de uno en uno.
- Cluster Bomb (bomba de racimo) -> Este modo de ataque permite cargar un payload distinto para cada posición, de esta forma podemos especificar que y cuantas pruebas se realizan en cada uno de las posiciones.
Ahora con todo esto explicado, vamos a realizar una prueba de inyección sql. Para ello vamos a realizar los siguientes ajustes.
Añadimos la siguiente lista en nuestro payload.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
' " / /* # ) ( )' (' and 1=1 and 1=2 and 1>2 and 1<=2 +and+1=1 +and+1=2 +and+1>2 +and+1<=2 /**/and/**/1=2 /**/and/**/1>2 /**/and/**/1<=2 %' or '0'='0 |
Como vemos en la siguiente imagen
Al utilizar la versión free de la aplicación otra de las limitaciones que tenemos es el no poder cargar un fichero de texto con todas las opciones, siento deciros que habrá que incluir las opciones una a una o, podemos copiar la lista completa en el portapapeles y pegarla pinchando en el botón paste.
También tendremos que desmarcar la casilla “Payload encoding” para evitar que nuestros ataques se transformen por otro carácter evitando de esta manera que nuestro ataque no funcione.
Bueno después de tener todas ya incluidas continuamos con la configuración.
Ahora accedemos a la sección options y bajamos el scroll hasta encontrar la opción grep. Aquí podemos definir el texto de error a buscar en la página de resultados después de añadir nuestro payload. Esto puede ser muy útil cuando buscamos un error específico o un comportamiento concreto en la aplicación y ahorra tiempo al realizar estas búsquedas. En este caso hemos utilizado una lista de errores de sql para obtener éxito en nuestro ataque de inyección.
En nuestro caso hemos añadido la siguiente lista y para hacer la vida más fácil podemos copiar en el portapapeles todas las opciones e incluirlas con pulsar el botón “paste”. La lista está desplegando el siguiente spoiler.
Con todo esto ya podemos empezar a realizar el test de ataque con nuestra petición HTTP que hemos identificado anteriormente. Ahora volvemos a la sección Positions y pinchamos el botón “Start Attack”.
Se abrirá una nueva ventana donde empezará el ataque de inyección en la aplicación web. Se puede ver claramente la longitud de los mensajes, si han devuelto un error o no, así como muchos otros datos.
Podemos ver las que tienen un error y observar cual ha sido el error obtenido.
En este caso, como lo estamos realizando sobre la aplicación dvwa, nos aparece el error en la propia pantalla de la aplicación pero, esto no es lo que pasa normalmente.
Por esta ocasión, y como primer contacto con esta plataforma, hemos visto como realizar un sencillo ataque sql en esta aplicación. Posteriormente, haré más tutoriales y sobre todo prácticas para ver a fondo el funcionamiento de esta plataforma.
Espero que les haya gustado y comenten su opinión, dudas, o si necesitan algún tutorial o ayuda con alguna herramienta, acepto ideas sobre nuevos contenidos. Gracias por leernos y nos vemos en el próximo post.
