Day11 - 累了，先用工具擋一下

BurpSuite

• web滲透的好工具，主要可以掛proxy然後攔下封包、網頁爬取、web漏洞掃描、爆破...等
• 板本
  • 
  • Burp Suite Community(免費版)
  • Burp Suite Professional(專業版)
    • 一年$399美金
  • Burp Sutie Enterprise(企業版)
    • 一年$3999美金

安裝

• 必須先安裝java，以下提供下載連結

  • 選擇java11

    • 

  • https://adoptopenjdk.net/

• 另外下載burp的安裝包

  • https://portswigger.net/burp/releases/professional-community-2020-9-1?requestededition=community
  • 

• 裝完會像這樣

  • 

可憐學生，只能當免費仔

設定proxy

• 能夠快速切換proxy的工具，以下使用firefox當範例
  • firefox-plugin
    • Best Proxy Switcher
• 安裝完後選import List
  • 
• 接著輸入127.0.0.1:8080，save changes
  • 
• 選下select User proxy，點擊就可以一下就掛上proxy了
  • 

如果你是舊版的burp，必須要把credential引入進來

使用

• 打開剛剛下載的plugin，把proxy打開，圖示不見代表開啟成功

  • 

• 點下proxy後，在firefox瀏覽website，接著會卡住

  • 接著可以將封包攔住
  • intercept開啟會將封包卡住，關閉則會直接將封包記錄放在HTTP history
  • 

• 以下是示意圖

  • 

最常用的兩個功能

怎麼用

• 對你想要使用的封包按下右鍵，就能送到Repeater或Intruder
• 

Repeater

• 能夠竄改封包，送出你想要送的requests
  • 針對會跳轉的情況相當好用，以下拿一題picoCTF的題目作為示範

Buttons 2018picoCTF(web)

• http://2018shell3.picoctf.com:7949/

• 按下按鈕，發現Button2，再按下會發現他放影片嘲諷你

  • 
  • 
  • 
    *

• 仔細看一下，Button2.php被跳轉到foo.html

  • 

• 再仔細看一下封包，發現按下按鈕是發送GET button2.php，結果被跳轉

  • 
  • 

• 思路: 試試看其他HTTP Method，發送request囉

  • 利用Repeater，我們可以很方便的用其他HTTP method發出新的request
    • 

• 很棒，拿到flag囉

  • 

Burp有時候打CTF很好用der~~~

Intruder

• 對封包中的參數做==爆破==，能夠用字典檔也可以內建
• 你可以想成很多次的repeater
• 免費版的不能開多個Thread，所以如果暴力破會很慢
  • 一樣拿一題ctf題目做示範

A Simple Question

• There is a website running at (link). Try to see if you can answer its question.

• http://2018shell2.picoctf.com:28120

• 先隨便注入看看，感覺像是SQLinjection

  • 都給了SQL Query看來八九不離十
  • 

• 看一下SQL語句，看來是有answer的column哦，我們來看看他長度多少

  • 這時候Intruder就很好用，依樣我們先攔包，送到Intruder裡面
    • 
  • 接著可以看到剛剛注入的東東，我們試著猜猜看
    • 
  • 右方clear可以清空對參數的標記，add則是對該參數做標記
    
  • 構造payload
    • 
  • 接下來設定怎麼爆破，設定完就按下start attack
    • 我是設定Numbers，從1~100，1步1步遞增
    • 
  • 我們先觀察哪一個payload的數字特別不同，恩發現是14
    • 
  • 看一下response，看來沒錯，合理推斷answer長度為14
    • 
  • 接下來我們就知道answer長度為14，我們可以用SQL 的LIKE，來判定我們猜的每一步是不是對的
    • 改一下payload，用底線讓LIKE可以模糊比對
    • 
  • 這邊用個小技巧，按一下Length可以做排序
    • 很清楚的就知道哪一格是甚麼字元囉
    • 
  • 整理一下，結果還是錯，感覺是大小寫在搞鬼
    • 
  • 試試看駝峰式命名，恩過了
    • 

因為免費版功能較少，所以就先記錄這兩個最常用的功能，付費版可以做網頁弱點掃描

ref

• https://www.bookstack.cn/read/CTF-All-In-One/doc-2.4.5_burpsuite.md
• https://delayma.wordpress.com/2019/01/05/a-simple-question-web-challenge-picoctf-18/