Познаём Burp. Как увидеть невидимое при атаках на веб

Collaborator

Инс­тру­мент Collaborator нужен для боль­шинс­тва сле­пых атак: SSRF, SSTI, command injection, XSS, XXE и дру­гих, в которых ты не можешь нап­рямую уви­деть резуль­тат. Даже в сле­пой SQL-инъ­екции Collaborator при­годит­ся, что­бы уско­рить получе­ние дан­ных. Нап­ример, через DNS-зап­рос, добав­ляя в URL дан­ные, закоди­рован­ные в Base64.

Да­вай откро­ем Burp Collaborator и наж­мем Get Started. Burp выделит суб­домен для тво­его про­екта и повесит на него слу­шатель. Адрес будет выг­лядеть при­мер­но так:

Лю­бые зап­росы к нему мы уви­дим на вклад­ке Collaborator.

Зап­росы фик­сиру­ет сер­вер PortSwigger. Он работа­ет незави­симо от того, запущен у тебя Burp или нет. Ког­да откро­ешь про­ект, к которо­му при­вязан уни­каль­ный адрес, Burp под­тянет все зап­росы, упав­шие на сер­вер.

Соз­даем слу­шатель, копиру­ем адрес и зак­рыва­ем про­ект. Выпол­няем обыч­ный зап­рос через curl, пос­ле это­го откры­ваем про­ект. Если зап­росы не под­тянулись сами, нажима­ем Pull Now.

Поп­робу­ем передать дан­ные в зап­росе. Добавим к URL путь /SGVsbG8sIGhhY2tlciE=. Получит­ся такая ссыл­ка:

Мо­жешь выпол­нить зап­рос через curl или прос­то открыть свою ссыл­ку в бра­узе­ре. В Collaborator появят­ся свя­зан­ные зап­росы, вклю­чая закоди­рован­ное сооб­щение. Декоди­ровать сооб­щение мож­но в Burp на вклад­ке Decoder. Адрес рабочий, можешь поп­робовать отпра­вить мне через него сооб­щение.

Для демонс­тра­ции работы хорошо под­ходит лаба Blind SSRF with out-of-band detection с сай­та PortSwigger. Ата­ка из лабы может при­годить­ся тебе на прак­тике. Ког­да неиз­вестен реаль­ный IP-адрес тар­гета, она поможет его узнать.

Ла­ба — обыч­ный информа­цион­ный сайт, на котором пред­став­лены раз­ные товары. Откры­ваем любой товар, перех­ватыва­ем зап­рос в Burp Suite и отправ­ляем его в Repeater.

Уяз­вимость в поле Referer. Ког­да поль­зователь откры­вает кар­точку товара, сер­вер дела­ет зап­рос к ресур­су, ука­зан­ному в Referer. Выделя­ем часть рефере­ра, которая идет пос­ле https://. Кли­каем пра­вой кноп­кой мыши и нажима­ем Insert Collaborator payload. Burp сам соз­даст суб­домен и под­ста­вит его в зап­рос.

От­прав­ляем зап­рос и ждем, ког­да в Collaborator при­летит информа­ция. Иног­да тре­бует­ся нес­коль­ко минут. Мож­но нажать Pull Now, что­бы про­верить, появи­лись ли дан­ные. Если зап­рос дол­го не при­ходит, убе­дись, что Referer начина­ется с https://.

Ре­зуль­татом ата­ки ста­нут два DNS-зап­роса и один HTTP-зап­рос. На прак­тике один или нес­коль­ко сер­веров могут быть свя­заны с тар­гетом. Есть шанс доб­рать­ся до сер­вера и прос­каниро­вать его с помощью Nmap или дру­гой тул­зы.

Burp Collaborator дос­тупен толь­ко в Burp Suite Professional. Если поль­зуешь­ся Community Edition, мож­но взять бес­плат­ный webhook.site или похожий сер­вис. Заходим на сайт — он выдаст уни­каль­ный адрес. Важ­но сох­ранить ссыл­ку, что­бы поз­же уви­деть резуль­тат.

Атака на токены и сессии

Burp Sequencer — инс­тру­мент для ана­лиза токенов, иден­тифика­торов сес­сий и любых дру­гих слу­чай­ных зна­чений на пред­мет пов­торно­го исполь­зования.