LabEx
EntrarÚnete

Analizar Resultados de Ataques en Burp Intruder

Beginner
Practicar Ahora

Introducción

Después de ejecutar un ataque en Burp Intruder, el siguiente paso crucial es analizar los resultados para identificar posibles vulnerabilidades. La tabla de resultados proporciona una gran cantidad de información, pero saber cómo ordenarla, filtrarla e inspeccionarla de manera eficiente es clave para encontrar fallos de seguridad.

En este laboratorio, aprenderá las técnicas fundamentales para analizar un ataque de Intruder completado. Para centrarnos únicamente en el flujo de trabajo de análisis, utilizaremos un archivo de proyecto de Burp Suite precargado que ya contiene los resultados del ataque. Aprenderá a iniciar Burp Suite, abrir el proyecto y utilizar las herramientas integradas para examinar los resultados.

Ver la Tabla de Resultados de un Ataque de Intruder Completado

En este paso, iniciará Burp Suite y abrirá un proyecto existente para ver los resultados de un ataque previamente ejecutado. Este es el punto de partida para cualquier análisis.

Primero, abra una terminal desde el menú de la aplicación de escritorio.

Ahora, inicie Burp Suite Community Edition ejecutando el siguiente comando en la terminal. Esto puede tardar un momento en cargarse.

burpsuite

Aparecerá un cuadro de diálogo de inicio. Dado que estamos utilizando un proyecto preconfigurado, seleccione Open an existing project (Abrir un proyecto existente) y haga clic en Next (Siguiente).

En la ventana de selección de archivos, navegue hasta el directorio /home/labex/project. Verá un archivo llamado burp-intruder-results.bpr. Seleccione este archivo y haga clic en Open (Abrir).

Haga clic en Start Burp (Iniciar Burp) en la pantalla final del diálogo.

Una vez que Burp Suite se haya cargado, navegue hasta la pestaña Intruder. Verá que ya se ha ejecutado un ataque y que la subpestaña Results (Resultados) está poblada con datos. Tómese un momento para observar las columnas disponibles, como Request (Solicitud), Payload (Carga útil), Status (Estado) y Length (Longitud).

Ordenar los Resultados por Código de 'Estado'

En este paso, aprenderá a ordenar los resultados del ataque por el código de estado HTTP. La ordenación es una forma rápida de agrupar respuestas similares y detectar valores atípicos. Diferentes códigos de estado pueden indicar diferentes comportamientos de la aplicación, lo cual es útil para el análisis.

En la pestaña Intruder > Results (Intruder > Resultados), localice el encabezado de la columna llamado Status (Estado).

Haga clic en el encabezado de la columna Status. La tabla ordenará todos los resultados basándose en el código de estado HTTP en orden ascendente. Hacer clic de nuevo en el encabezado lo ordenará en orden descendente.

Ordene la tabla para poder ver si hay algún código de estado distinto de 200 OK. Por ejemplo, un 302 Found podría indicar una redirección de inicio de sesión exitosa, mientras que un 403 Forbidden o un 500 Internal Server Error también podrían ser interesantes y merecer una mayor investigación. Agrupar estos códigos juntos facilita su localización.

Ordenar los Resultados por 'Longitud' para Encontrar Anomalías

En este paso, ordenará los resultados por la longitud de la respuesta para identificar anomalías. En muchos tipos de ataques, como la adivinación de contraseñas o el descubrimiento de contenido, un intento exitoso a menudo resulta en una respuesta con una longitud diferente a los intentos fallidos.

En la pestaña Intruder > Results (Intruder > Resultados), localice el encabezado de la columna llamado Length (Longitud).

Haga clic en el encabezado de la columna Length para ordenar los resultados. Observe los valores. Probablemente verá un gran número de respuestas con exactamente la misma longitud. Estas suelen representar la respuesta base "fallida" o "predeterminada" del servidor.

Haga clic de nuevo en el encabezado Length para ordenar en la dirección opuesta. Cualquier respuesta con una longitud significativamente diferente, ya sea mucho más larga o mucho más corta, es una anomalía que merece una inspección más detallada. Esta es una de las formas más efectivas de encontrar resultados interesantes en un conjunto de datos grande.

Haga clic en un Resultado para Ver la Solicitud y Respuesta Completas

En este paso, seleccionará un resultado interesante de la tabla para ver la solicitud y respuesta HTTP completas. Después de identificar una posible anomalía mediante la ordenación, deberá examinar el tráfico sin procesar para comprender qué sucedió.

Primero, identifique una fila interesante en la tabla de resultados. Podría ser una fila con un código de estado único o una longitud de respuesta que se destaque del resto.

Haga clic en esa fila única para seleccionarla.

Una vez seleccionada una fila, observe los paneles debajo de la tabla de resultados. Verá un conjunto de pestañas para la Request (Solicitud) y la Response (Respuesta).

  • Haga clic en la pestaña Request para ver la solicitud HTTP exacta que Burp envió al servidor. Puede ver la carga útil (payload) que se inyectó para esa solicitud específica.
  • Haga clic en la pestaña Response para ver la respuesta completa del servidor.

Al alternar entre la solicitud y la respuesta, puede analizar por qué una carga útil particular resultó en una respuesta anómala. Por ejemplo, una longitud de respuesta diferente podría deberse a un mensaje de error o a un mensaje de inicio de sesión exitoso que aparece en el cuerpo de la respuesta.

Utilice la Barra de 'Filtro' para Ocultar Resultados Poco Interesantes

En este paso, utilizará la barra de filtro para ocultar los resultados poco interesantes. Cuando un ataque genera miles de resultados, la ordenación y el desplazamiento manual son ineficientes. El filtro es una herramienta potente para reducir la vista a solo lo que importa.

Justo encima de la tabla de resultados, encontrará la barra Filter (Filtro). Esta función le permite mostrar u ocultar resultados basándose en varios criterios.

Intentemos un ejemplo práctico. Después de ordenar por longitud, probablemente notó una longitud de respuesta muy común para los intentos fallidos. Supongamos que esta longitud es 4850.

  1. Escriba 4850 en el cuadro de texto del filtro.
  2. Marque el botón de opción Hide (Ocultar).
  3. La tabla de resultados ahora ocultará todas las respuestas con una longitud de 4850, lo que facilitará mucho la visualización de los pocos resultados anómalos que quedan.

También puede filtrar por otros atributos, como el código de estado o términos de búsqueda en la respuesta. Para borrar un filtro, simplemente elimine el texto del cuadro de entrada. Experimente con el filtro para ver cómo puede ayudarle a centrar su análisis.

Resumen

En este laboratorio, aprendió las técnicas fundamentales para analizar los resultados de ataques en Burp Intruder. Estas habilidades son esenciales para encontrar de manera eficiente vulnerabilidades a partir de ataques automatizados.

Comenzó abriendo un proyecto de Burp preexistente y navegando a la tabla de resultados de Intruder. Luego practicó la ordenación de los resultados tanto por código de estado HTTP como por longitud de respuesta para identificar rápidamente anomalías. A continuación, aprendió a inspeccionar la solicitud y respuesta completas de cualquier resultado dado para comprender el comportamiento del servidor. Finalmente, utilizó la potente función de filtro para ocultar el ruido y centrarse en los resultados más interesantes.

Dominar este flujo de trabajo de análisis acelerará significativamente su capacidad para procesar la salida de herramientas automatizadas y detectar fallos de seguridad.