Einleitung
Nachdem ein Angriff in Burp Intruder ausgeführt wurde, ist der nächste entscheidende Schritt die Analyse der Ergebnisse, um potenzielle Schwachstellen zu identifizieren. Die Ergebnistabelle liefert eine Fülle von Informationen, aber das Wissen, wie man sie effizient sortiert, filtert und inspiziert, ist der Schlüssel zum Auffinden von Sicherheitslücken.
In diesem Lab lernen Sie die grundlegenden Techniken zur Analyse eines abgeschlossenen Intruder-Angriffs. Um uns ausschließlich auf den Analyse-Workflow zu konzentrieren, verwenden wir eine vorab geladene Burp Suite-Projektdatei, die bereits Angriffsergebnisse enthält. Sie lernen, wie Sie Burp Suite starten, das Projekt öffnen und die integrierten Werkzeuge zur Untersuchung der Ergebnisse nutzen.
Ansicht der Ergebnistabelle eines abgeschlossenen Intruder-Angriffs
In diesem Schritt starten Sie Burp Suite und öffnen ein bestehendes Projekt, um die Ergebnisse eines bereits ausgeführten Angriffs anzuzeigen. Dies ist der Ausgangspunkt für jede Analyse.
Öffnen Sie zunächst ein Terminal aus dem Menü der Desktop-Anwendung.
Starten Sie nun Burp Suite Community Edition, indem Sie den folgenden Befehl im Terminal ausführen. Das Laden kann einen Moment dauern.
burpsuite
Ein Startdialog wird angezeigt. Da wir ein vorkonfiguriertes Projekt verwenden, wählen Sie Open an existing project (Ein bestehendes Projekt öffnen) und klicken Sie auf Next (Weiter).
Navigieren Sie im Fenster zur Dateiauswahl zum Verzeichnis /home/labex/project. Sie sehen eine Datei namens burp-intruder-results.bpr. Wählen Sie diese Datei aus und klicken Sie auf Open (Öffnen).
Klicken Sie auf dem letzten Dialogbildschirm auf Start Burp.
Sobald Burp Suite geladen ist, navigieren Sie zum Tab Intruder. Sie werden sehen, dass ein Angriff bereits ausgeführt wurde und der Unter-Tab Results (Ergebnisse) mit Daten gefüllt ist. Nehmen Sie sich einen Moment Zeit, um die verfügbaren Spalten wie Request (Anfrage), Payload (Nutzlast), Status und Length (Länge) zu betrachten.
Ergebnisse nach 'Status'-Code sortieren
In diesem Schritt lernen Sie, wie Sie die Angriffsergebnisse nach dem HTTP-Statuscode sortieren. Sortieren ist eine schnelle Methode, um ähnliche Antworten zu gruppieren und Ausreißer zu erkennen. Verschiedene Statuscodes können auf unterschiedliche Anwendungsverhalten hinweisen, was für die Analyse nützlich ist.
Suchen Sie im Tab Intruder > Results (Intruder > Ergebnisse) die Spaltenüberschrift Status.
Klicken Sie auf die Spaltenüberschrift Status. Die Tabelle sortiert alle Ergebnisse basierend auf dem HTTP-Statuscode in aufsteigender Reihenfolge. Ein erneutes Klicken auf die Überschrift sortiert sie in absteigender Reihenfolge.
Sortieren Sie die Tabelle so, dass Sie sehen können, ob es andere Statuscodes als 200 OK gibt. Ein 302 Found könnte beispielsweise auf eine erfolgreiche Anmeldeumleitung hinweisen, während ein 403 Forbidden oder 500 Internal Server Error ebenfalls interessant sein und weitere Untersuchungen rechtfertigen könnte. Das Gruppieren dieser Codes erleichtert das Auffinden.
Ergebnisse nach 'Länge' sortieren, um Anomalien zu finden
In diesem Schritt sortieren Sie die Ergebnisse nach der Antwortlänge, um Anomalien zu identifizieren. Bei vielen Arten von Angriffen, wie z. B. beim Raten von Passwörtern oder der Inhaltsermittlung, führt ein erfolgreicher Versuch oft zu einer Antwort mit einer anderen Länge als bei erfolglosen Versuchen.
Suchen Sie im Tab Intruder > Results (Intruder > Ergebnisse) die Spaltenüberschrift Length (Länge).
Klicken Sie auf die Spaltenüberschrift Length, um die Ergebnisse zu sortieren. Beobachten Sie die Werte. Wahrscheinlich sehen Sie eine große Anzahl von Antworten mit exakt gleicher Länge. Diese stellen normalerweise die grundlegende "fehlgeschlagene" oder "Standard"-Antwort des Servers dar.
Klicken Sie erneut auf die Length-Überschrift, um in die entgegengesetzte Richtung zu sortieren. Jede Antwort mit einer signifikant anderen Länge – entweder viel länger oder viel kürzer – ist eine Anomalie, die genauer untersucht werden sollte. Dies ist eine der effektivsten Methoden, um interessante Ergebnisse in einem großen Datensatz zu finden.
Ein Ergebnis anklicken, um die vollständige Anfrage und Antwort anzuzeigen
In diesem Schritt wählen Sie ein interessantes Ergebnis aus der Tabelle aus, um die vollständige HTTP-Anfrage und -Antwort anzuzeigen. Nachdem Sie durch Sortieren eine potenzielle Anomalie identifiziert haben, müssen Sie den rohen Traffic untersuchen, um zu verstehen, was passiert ist.
Identifizieren Sie zunächst eine interessante Zeile in der Ergebnistabelle. Dies könnte eine Zeile mit einem eindeutigen Statuscode oder einer Antwortlänge sein, die sich vom Rest abhebt.
Klicken Sie auf diese einzelne Zeile, um sie auszuwählen.
Sobald eine Zeile ausgewählt ist, schauen Sie sich die Bereiche unterhalb der Ergebnistabelle an. Sie sehen eine Reihe von Tabs für die Request (Anfrage) und Response (Antwort).
- Klicken Sie auf den Tab Request, um die exakte HTTP-Anfrage zu sehen, die Burp an den Server gesendet hat. Sie können die für diese spezifische Anfrage injizierte Payload sehen.
- Klicken Sie auf den Tab Response, um die vollständige Antwort des Servers zu sehen.
Durch Wechseln zwischen Anfrage und Antwort können Sie analysieren, warum eine bestimmte Payload zu einer anomalen Antwort geführt hat. Beispielsweise könnte eine andere Antwortlänge auf eine Fehlermeldung oder eine erfolgreiche Anmeldemeldung im Antwortkörper zurückzuführen sein.
Die 'Filter'-Leiste verwenden, um uninteressante Ergebnisse auszublenden
In diesem Schritt verwenden Sie die Filterleiste, um uninteressante Ergebnisse auszublenden. Wenn ein Angriff Tausende von Ergebnissen generiert, ist manuelles Sortieren und Scrollen ineffizient. Der Filter ist ein leistungsstarkes Werkzeug, um die Ansicht auf das Wesentliche zu beschränken.
Direkt über der Ergebnistabelle finden Sie die Filter-Leiste. Diese Funktion ermöglicht es Ihnen, Ergebnisse basierend auf verschiedenen Kriterien ein- oder auszublenden.
Versuchen wir ein praktisches Beispiel. Nach der Sortierung nach Länge haben Sie wahrscheinlich eine sehr häufige Antwortlänge für fehlgeschlagene Versuche bemerkt. Nehmen wir an, diese Länge beträgt 4850.
- Geben Sie
4850in das Textfeld für den Filter ein. - Wählen Sie die Radio-Schaltfläche Hide (Ausblenden) aus.
- Die Ergebnistabelle blendet nun alle Antworten mit der Länge
4850aus, wodurch es viel einfacher wird, die wenigen verbleibenden anomalen Ergebnisse zu sehen.
Sie können auch nach anderen Attributen filtern, wie z. B. Statuscode oder Suchbegriffe in der Antwort. Um einen Filter zu löschen, löschen Sie einfach den Text aus dem Eingabefeld. Experimentieren Sie mit dem Filter, um zu sehen, wie er Ihnen helfen kann, Ihre Analyse zu fokussieren.
Zusammenfassung
In diesem Lab haben Sie die grundlegenden Techniken zur Analyse von Angriffsergebnissen in Burp Intruder gelernt. Diese Fähigkeiten sind unerlässlich, um Schwachstellen aus automatisierten Angriffen effizient zu finden.
Sie haben damit begonnen, ein bereits bestehendes Burp-Projekt zu öffnen und zur Ergebnistabelle von Intruder zu navigieren. Anschließend haben Sie geübt, die Ergebnisse sowohl nach HTTP-Statuscode als auch nach Antwortlänge zu sortieren, um Anomalien schnell zu identifizieren. Als Nächstes haben Sie gelernt, wie Sie die vollständige Anfrage und Antwort eines beliebigen Ergebnisses inspizieren können, um das Verhalten des Servers zu verstehen. Schließlich haben Sie die leistungsstarke Filterfunktion genutzt, um Rauschen auszublenden und sich auf die interessantesten Ergebnisse zu konzentrieren.
Die Beherrschung dieses Analyse-Workflows wird Ihre Fähigkeit, die Ausgabe automatisierter Tools zu verarbeiten und Sicherheitslücken aufzudecken, erheblich beschleunigen.



