From Aldeid
Burp Intruder
Qu'est-ce que Burp Intruder?
Burp Intruder est un outil permettant d'automatiser des attaques sur des applications Web. Quelques cas d'utilisation :
- Enumération d'identifiants
- Fuzzing (brute-force sur des formulaires d'authentification)
- Injection SQL
- Cross Site Scripting
- Dépassement de tampon (buffer overflow)
- Prédiction de token de session
- Vol de session (session hijacking)
- Attaques sur les accès concurrents
- Déni de serive (DoS)
- etc.
Onglets
target
|
Cet onglet permet de spécifier une cible :
- host : adresse IP ou nom d'hôte
- port : port cible
- use SSL : utilisation du protocole SSL (fixe la valeur du port à 443 par défaut)
|
|
positions
Template
S'il est possible de paramétrer manuellement la fonction "intruder", il est beaucoup plus simple de sélectionner l'option "send to intruder" à partir du menu contextuel sur l'écran Target > Site map.
Les captures qui suivent présentent le code et le résultat d'une application de test PHP qui permet de tester la fonctionnalité d'importation automatique :
Le résultat capturé dans BurpSuite :
Comme on peut le constater, les onglets "target" et "positions" sont remplis automatiquement. Les variables sur lesquelles "intruder" va intervenir apparaissent entre des marqueurs de position (§) en gras et en rouge dans l'onglet "positions". Il est possible de modifier le template une fois importé. Les boutons présents autour du template sont expliqués ci-dessous :
- add § : insère un caractère § à l'endroit du curseur
- clear § : supprime tous les caractères § du template
- auto § : détection automatique des variables du template
- refresh : recalcule les couleurs du template
- clear : supprime l'intégralité du template
Attack type
Une fois le template rempli, il est nécessaire de préciser le type d'attaque parmi le choix suivant :
| Type attaque
|
Description
|
Nombre de combinaisons
|
Cas d'utilisation
|
| sniper
|
Utilise une liste unique de payloads; les paramètres sont testés un à un avec chacune des valeurs de payload
|
(nb de champs encadrés par des marqueurs de position) x (nb de payloads de la liste des payloads)
|
permet de tester la vulnérabilité de champs de formulaire à des attaques (par exemple XSS)
|
| battering ram :
|
Utilise une liste unique de payloads; insère le même contenu (payload) dans chaque champ entouré des marqueurs de position
|
Utilisé dans des attaques nécessitant la même valeur à plusieurs endroits de la requête HTTP (par exemple un nom d'utilisateur apparaissant dans l'en-tête Cookie et dans le corps du message)
|
nb de payloads contenus dans la liste des payloads
|
| pitchfork :
|
Utilise autant de liste de payloads que de paramètres (dans la limite de 8); Les listes de payloads sont déchargées dans les paramètres jusqu'au dernier payload de la liste des payloads la plus courte.
|
Utilisé dans des attaques nécessitant des paramètres liés au sein de la requête HTTP (par exemple un nom d'utilisateur dans un champ et son numéro identifiant dans un autre champ)
|
nb de payloads contenus dans la plus petite liste des payloads
|
| cluster bomb :
|
Utilise autant de liste de payloads que de paramètres (dans la limite de 8); toutes les combinaisons sont testées, à la manière de molettes de cadenas à code. Par exemple, sur 2 deux listes de payloads, le premier payload de la première liste est testé avec chacune des valeurs de payloads de la deuxième liste. Le deuxième payload de la première liste est ensuite testé avec chaque valeur de payload de la deuxième liste, et ainsi de suite.
|
Utilisé dans des attaques de brute-force (par exemple, une combinaison de noms d'utilisateurs et de mots de passe)
|
(nb de payloads contenus dans la première liste) x (nb de payloads contenus dans la deuxième liste) x ...
|
payloads
payload sets
Cet onglet permet de préciser les payloads de l'attaque, c'est à dire la liste des valeurs à tester.
Des pré-configuration sont disponibles dans la liste déroulante :
preset list
|
Permet de contruire une liste de valeurs libres. Les boutons sur la droite permettent d'ajouter des éléments (add), de charger la liste à partir d'un fichier (load), de coller une valeur (paste), de supprimer un valeur (delete) ou de supprimer toutes les valeurs de la liste (clear).
|
|
runtime file
| Permet de charger un fichier externe (select file)
|
|
custom iterator
| Permet de construire des "masques". Par exemple, si un identifiant est constitué d'une lettre, d'un point et de 4 chiffres, nous aurons le masque suivant §p1§§p2§§p3§§p4§ paramétré comme suit :
|
|
character substitution
|
Cette option permet de tester différentes variantes de mots en fonction de caractères de substitution. Par exemple, si nous avons
a > 4
z > 2
e > 3
r
t > 7
y
alors les combinaisons possibles pour azerty seront :
azerty
4zerty
42erty
423rty
423r7y
...
|
|
case substitution
|
Cette option permet, à partir d'un liste, d'effectuer des substitutions sur la casse (minuscules et majuscules). Par exemple, pour la chaîne "jimCarreY" :
| Substitution
|
Résultat
|
| no change
|
jimCarreY (aucun changement)
|
| to lower case
|
jimcarrey (toutes les lettres en minuscules)
|
| to upper case
|
JIMCARREY (toutes les lettres en majuscules)
|
| to Propername
|
Jimcarrey (la première lettre en majuscules, toutes les suivantes en minuscules)
|
| to ProperName
|
JimCarreY (la première lettre en majuscules, toutes les suivantes inchangées)
|
|
|
recursive grep
INCOMPLETE SECTION OR ARTICLE
This section/article is being written and is therefore not complete.
Thank you for your comprehension.
illegal unicode
|
L'attaque consiste en l'utilisation d'un caractère joker pour le remplacer itérativement par une liste de caractères unicode illégaux. Ce type d'attaque peut être utilisé afin de forcer de masques de validation basé sur le "pattern-matching" (par exemple la fonction PHP preg_match).
Les options sont les suivantes :
| Option
|
Description
|
| max overlong UTF-8 length
|
Par défaut, les caractères unicodes sont encodés sur un byte, mais il est possible de les encoder sur plusieurs bytes (overlong encoding). Ce champ permet de spécifier la longueur à utiliser (jusqu'à 6 bytes). En fonction de cette valeur, certaines options ne sont pas disponibles (voir description par option).
|
| max encodings
|
Fixe un plafond sur le nombre d'encodages illégaux générés, ce qui peut être utile dans le cas par exemple où "max permutations" est coché.
|
| illegal UTF-8 variants
|
Cette option n'est disponible que pour des valeurs de "max overlong UTF-8 length" > 1 byte. La Cette option permet de malformer les bytes suivant le premier. La forme normale des bytes suivants le premier est du type 10XXXXXX. Dans la mesure où le premier byte contient des informations sur le nombre de bytes suivants, les deux premiers bits des bytes suivants le premier peuvent être ignorés par les routines de décodage. Cela permet d'ajouter les variantes suivantes : 00XXXXXX, 01XXXXXX et 11XXXXXX.
|
| max permutations (1ère ligne)
|
Cette option n'est disponible que si :
- le champ "max overlong UTF-8 length" > 2 bytes
- l'option "illegal UTF-8 variants" est cochée
Lorsque cette option n'est pas activée, les bytes d'extension sont générés chacun avec une variante (voir option "illegal UTF-8 variants"). Lorsque l'option est activée, toutes les combinaisons sont testées. Ceci peut être utile pour forcer des contrôles avancés de pattern-matching.
|
| add % prefix
|
Permet l'insertion du caractère % devant chaque groupe de 2 caractères hexadécimaux
|
| illegal hex
|
Permet l'encodage hexédécimal (A à F pour remplacer les nombres 10 à 15) des payloads générés
|
| max permutations (2ème ligne)
|
Cette option est disponible si "max overlong ITF-8 length" est supérieur à 1 byte et que l'option "illegal hex" est cochée. Lorsque cette option n'est pas activée, les bytes sont générés chacun avec un code hexadécimal illégal (voir option "illegal hex"). Lorsque l'option est activée, toutes les combinaisons sont testées. Ceci peut être utile pour forcer des contrôles avancés de pattern-matching.
|
| lower case hex
|
Force l'utilisation de minuscules dans l'écriture des caractères hexadécimaux.
|
|
|
character blocks
|
Cette attaque permet la génération de suite d'un même caractère.
- base string : caractère de base, à dupliquer
- min length : taille minimale de la chaîne
- max length : taille maximale de la chaîne
- step : pas (incrément) de taille de chaîne entre deux itérations
|
|
numbers
|
Range :
- from : définit la borne inférieure de l'intervalle
- to : définit la borne supérieure de l'intervalle
- step : Uniquement disponible pour le mode "sequential". Définit le pas (incrément) entre deux générations.
- how many : Uniquement disponible pour le mode "random". Définit le nombre d'éléments à générer
format :
- min integer digits : Permet de définir le nombre de caractères minimaux que doit contenir la partie entière. Complète éventuellement par des "0". Par exemple "1" sera transformé en "01" avec une valeur de "2" dans ce champ.
- max integer digits : Permet de définir le nombre de caractères maximaux que doit contenir la partie entière. Tronque le nombre généré le cas échéant. Par exemple, "1234" sera transformé en "12" avec une valeur de "2" dans ce champ.
- min fraction digits : Uniquement disponible pour le mode "decimal". Définit le nombre de caractères minimaux que doit contenir la partie décimale. Complète éventuellement par des "0". Par exemple, "12,3" sera transformé en "12.30" pour une valeur de "2" dans ce champ.
- max fraction digits : Uniquement disponible pour le mode "decimal". Tronque la partie décimale le cas échéant. Par exemple, "12,345" sera transformé en "12,34" pour une valeur de "2" dans ce champ.
modes :
- sequential vs random : le mode sequential permet une génération continue entre les deux bornes (champs "from" et "to") de l'intervalle alors que le mode random permet une génération de nombres aléatoires, compris entre les deux bornes de l'intervalle.
- decimal vs hex : le mode decimal permet une génération de nombres décimaux alors que le mode hex généères des nombres au format hexadécimal.
|
|
dates
|
Ce type de payload permet de générer automatiquement des dates comme payload. Les champs sont détaillés ci-dessous :
- from : date de début
- to : date de fin
- step : pas (incrément) entre deux dates générées
- format : format pré-défini ou personnalisé. Pour ce dernier, la syntaxe permet de construire n'importe quel format de date avec :
| Caractère
|
Description
|
Exemple
|
| E
|
Nom abrégé (3 caractères) du jour de la semaine
|
Mon, Tue, ..., Sun
|
| EEEE
|
Nom complet du jour de la semaine
|
Monday, Tuesday, ..., Sunday
|
| d
|
Numéro du jour dans le mois
|
1, 2, ..., 31
|
| dd
|
Numéro du jour (sur 2 caractères) dans le mois
|
01, 02, ..., 31
|
| M
|
Numéro du mois dans l'année
|
1, 2, ..., 12
|
| MM
|
Numéro du mois (sur 2 caractères) dans l'année
|
01, 02, ..., 12
|
| MMM
|
Nom abrégé (3 caractères) du mois
|
Jan, Feb, ..., Dec
|
| MMMM
|
Nom complet du mois
|
January, February, ..., December
|
| yy
|
Année (sur 2 caractères)
|
08, 09, 10, ...
|
| yyyy
|
Année (sur 4 caractères)
|
2008, 2009, 2010
|
|
|
brute forcer
| Cette attaque permet de tester toutes les combinaisons possibles, à partir d'un jeu de caractères, dans une taille définie entre une borne inférieure et une borne supérieure.
|
|
null payloads
| Cette attaque permet d'envoyer une chaîne vide (NULL) à l'emplacement du marqueur de position. Si d'autres paramètres sont précisés dans la requête sans marqueur de position, cela permet d'exécuter la requête sans modification un nombre de fois limité (generate) ou illimité (continue indefinitely). Cette attaque peut être utilisée pour tester une application face à un déni de service (DoS pour Denial of Service en anglais).
|
|
Traitements sur les payloads
Les options qui suivent (case, match/replace et encode) s'appliquent au titre de traitements additionnels sur les payloads.
case
- do not modify : N'effectue aucune modification concernant la casse (majuscules/minuscules).
- to lower case : transpose tous les payloads en minusules
- to upper case : transpose tous les payloads en majuscules
- to Propername : transpose tous les payloads avec la première lettre en majuscule et toutes les suivantes en minuscules
- to ProperName : transpose tous les payloads avec la première lettre en majuscule (les lettres suivantes restant inchangées).
|
|
match/replace
- match regex : permet de spécifier un masque d'expression régulière pour modification de tout payload correspondant au masque.
- replace with : permet de spécifier le remplacement à opérer sur le payload.
- replace all : Si cette option n'est pas cochée, seule la première occurence est remplacée. Dans le cas contraire, toutes les occurences sont impactées par le remplacement.
|
|
encode
- do not encode : Pas de traitement des payloads concernant l'encodage.
- URL-encode these characters : Permet d'encoder une liste de caractères dans la norme URL-encode.
- base-64 encode : Permet d'encoder les payloads dans la norme base-64.
- hash : Permet de d'encoder chaque payload dans l'une des normes suivantes : SHA-256, SHA-512, SHA, SHA-384, MD5, MD2
- add prefix : Ce champ n'est disponible que pour les options "base-64 encode" et "hash". Il permet d'ajouter un préfixe qui ne sera pas encodé. Ceci peut être utilisé par exemple pour des opérations de brute-force à partir d'un identifiant connu, et sur lequel on recherche le mot de passe.
- add suffix : Ce champ n'est disponible que pour les options "base-64 encode" et "hash". Il permet d'ajouter un suffixe qui ne sera pas encodé.
|
|
| Une fois le paramétrage de l'attaque effectué, c'est à partir de l'option "Start" du menu que l'attaque est lancée.
|
|
Fenêtre d'attaque
| La fenêtre d'attaque a la forme suivante (voir capture ci-contre). Il est possible de double-cliquer sur les entrées pour afficher le détail de la requête, mais également d'envoyer chacune des requêtes vers le "repeater" ou le "comparer" en cliquant avec le bouton droit de la souris sur les entrées.
|
|
