LabEx
LoginBeitreten

Anfrage an Intruder in Burp Suite senden

Beginner
Jetzt üben

Einleitung

Burp Suite Intruder ist ein leistungsstarkes Werkzeug zur Automatisierung angepasster Angriffe auf Webanwendungen. Es ist äußerst flexibel und kann für eine Vielzahl von Aufgaben eingesetzt werden, von einfachem Fuzzing bis hin zu komplexer Enumeration.

Der erste und grundlegendste Schritt bei der Verwendung von Intruder ist die Auswahl einer Anfrage und deren Übermittlung an das Werkzeug zur Konfiguration. In diesem Lab lernen Sie, wie Sie eine Anfrage mit Parametern über den Burp Proxy erfassen und dann an das Intruder-Werkzeug senden. Dies ist eine grundlegende Fähigkeit für die Durchführung jeder Art von Angriff mit Intruder.

Eine Anfrage mit Parametern in der Proxy-Historie finden

In diesem Schritt generieren Sie Web-Traffic, indem Sie ein Anmeldeformular absenden, und lokalisieren dann die resultierende Anfrage in der Proxy-Historie von Burp Suite. Diese erfasste Anfrage wird diejenige sein, mit der wir arbeiten.

Zuerst generieren wir die Anfrage.

  1. Öffnen Sie die Webbrowser-Anwendung vom Desktop oder Anwendungsmenü aus.
  2. Navigieren Sie in der Adressleiste des Browsers zu http://127.0.0.1:8000. Sie sollten eine einfache Anmeldeseite sehen.
  3. Das Formular ist mit testuser und testpass vorausgefüllt. Klicken Sie auf die Schaltfläche Submit.
  4. Der Browser zeigt "Invalid Credentials" an, was erwartet wird. Wichtig ist, dass wir nun eine POST-Anfrage mit Parametern gesendet haben.

Nun finden wir diese Anfrage in Burp Suite.

  1. Wechseln Sie zum Burp Suite-Fenster.
  2. Klicken Sie auf den Tab Proxy.
  3. Klicken Sie innerhalb des Tabs Proxy auf den Unter-Tab HTTP history.
  4. Sie sehen eine Liste aller Anfragen, die Ihr Browser über Burp gesendet hat. Suchen Sie nach der Anfrage, die in der Spalte "Method" POST und in der Spalte "URL" /login anzeigt. Klicken Sie darauf, um sie auszuwählen.

Sobald Sie die Anfrage ausgewählt haben, können Sie deren vollständigen Inhalt in den darunter liegenden Bereichen sehen, einschließlich der username- und password-Parameter, die wir gesendet haben.

Rechtsklick auf die Anfrage und Auswahl von 'Send to Intruder'

In diesem Schritt senden Sie die erfasste POST /login-Anfrage aus der Proxy-Historie an das Intruder-Werkzeug. Diese Aktion kopiert die Anfrage nach Intruder, wo Sie dann einen Angriff konfigurieren können.

  1. Stellen Sie sicher, dass die POST /login-Anfrage in der Tabelle Proxy > HTTP history weiterhin hervorgehoben ist.
  2. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Zeile dieser Anfrage, um das Kontextmenü zu öffnen.
  3. Bewegen Sie im Kontextmenü den Mauszeiger durch die Liste der Optionen und klicken Sie auf Send to Intruder.

Alternativ können Sie die Anfrage auswählen und die Tastenkombination Strg+I verwenden.

Nachdem Sie auf "Send to Intruder" geklickt haben, sehen Sie im Proxy-Tab keine sofortige Änderung, aber der Haupt-Tab Intruder am oberen Rand des Fensters wird orangefarben, was darauf hinweist, dass er eine neue Anfrage erhalten hat und bereit für Ihre Aufmerksamkeit ist.

In diesem Schritt navigieren Sie zum Intruder-Werkzeug, um die gerade gesendete Anfrage anzuzeigen. Der Tab Positions ist die Standardansicht, in der Sie definieren, welche Teile der Anfrage während eines Angriffs modifiziert werden.

  1. Betrachten Sie die Haupt-Tabs am oberen Rand des Burp Suite-Fensters. Sie sollten sehen, dass der Tab Intruder nun hervorgehoben ist (typischerweise in Orange).
  2. Klicken Sie auf den Tab Intruder, um zum Intruder-Werkzeug zu wechseln.

Standardmäßig werden Sie zum Unter-Tab Positions weitergeleitet. Dieser Bildschirm ist in zwei Hauptteile unterteilt: die Zielinformationen oben (Host und Port) und den darunter liegenden Anfrage-Editor, der die vom Proxy gesendete Anfrage anzeigt. Hier konfigurieren Sie die Angriffsparameter.

Beobachten der automatisch identifizierten Payload-Positionen

In diesem Schritt untersuchen Sie, wie Burp Suite automatisch potenzielle Payload-Positionen in der Anfrage identifiziert. Diese Positionen sind die Stellen, an denen Intruder während eines Angriffs Payloads einfügt.

Wenn eine Anfrage an Intruder gesendet wird, analysiert Burp Suite diese automatisch und vermutet, welche Teile Sie angreifen möchten. Es markiert diese Teile als "Payload-Positionen".

Im Tab Intruder > Positions sehen Sie im Anfrage-Editor. Sie werden feststellen, dass die Werte der Parameter username und password hervorgehoben und von einem speziellen Symbol umgeben sind: §.

Der Anfragekörper wird in etwa so aussehen:

username=§testuser§&password=§testpass§

Jedes Paar von §...§-Symbolen definiert eine einzelne Payload-Position. Burp hat hier automatisch zwei Positionen erstellt, eine für den Benutzernamen und eine für das Passwort. Auf der rechten Seite des Bildschirms sehen Sie, dass der "Attack type" standardmäßig auf Sniper eingestellt ist, was bedeutet, dass Payloads nacheinander für eine Position durchlaufen werden.

Diese automatische Erkennung ist ein praktischer Ausgangspunkt, aber für viele Angriffe möchten Sie die Positionen manuell definieren.

Standardpositionen mit der Schaltfläche 'Clear §' löschen

In diesem Schritt lernen Sie, wie Sie die automatisch definierten Payload-Positionen löschen. Dies ist ein wichtiger Schritt, wenn Sie einen gezielteren Angriff einrichten möchten, z. B. nur das Passwortfeld anstelle aller Parameter testen möchten.

Rechts neben dem Anfrage-Editor befindet sich eine Reihe von Schaltflächen: Add §, Clear §, Auto § und Refresh.

  1. Suchen Sie die Schaltfläche Clear §.
  2. Klicken Sie auf die Schaltfläche Clear §.

Nachdem Sie darauf geklickt haben, sehen Sie, dass alle Hervorhebungen und die §-Symbole aus dem Anfrage-Editor entfernt wurden. Der Anfragekörper sieht nun sauber aus, wie folgt:

username=testuser&password=testpass

Die Anfrage ist nun bereit, damit Sie manuell einen bestimmten Teil der Anfrage (wie nur den Wert testpass) auswählen und mit der Schaltfläche Add § Ihre eigene benutzerdefinierte Payload-Position definieren können. Dies gibt Ihnen die volle Kontrolle über den Angriff.

Zusammenfassung

In diesem Lab haben Sie die wesentlichen ersten Schritte zur Verwendung von Burp Suite Intruder erfolgreich erlernt.

Sie haben damit begonnen, Traffic mit einem Webbrowser zu generieren und eine spezifische POST-Anfrage in der Proxy-Historie zu lokalisieren. Anschließend haben Sie gelernt, wie Sie diese Anfrage an das Intruder-Tool senden. Schließlich haben Sie beobachtet, wie Burp Intruder automatisch Payload-Positionen markiert und wie Sie diese Standardeinstellungen löschen können, um sich auf eine benutzerdefinierte Angriffskonfiguration vorzubereiten.

Die Beherrschung dieses Workflows ist grundlegend, um die Leistungsfähigkeit von Burp Intruder für Sicherheitstests von Webanwendungen zu nutzen.