BurpSuite:Intruder

From aldeid
Jump to: navigation, search

Burp Intruder

Qu'est-ce que Burp Intruder?

Burp Intruder est un outil permettant d'automatiser des attaques sur des applications Web. Quelques cas d'utilisation :

  • Enumération d'identifiants
  • Fuzzing (brute-force sur des formulaires d'authentification)
  • Injection SQL
  • Cross Site Scripting
  • Dépassement de tampon (buffer overflow)
  • Prédiction de token de session
  • Vol de session (session hijacking)
  • Attaques sur les accès concurrents
  • Déni de serive (DoS)
  • etc.

Onglets

target

Cet onglet permet de spécifier une cible :

  • host : adresse IP ou nom d'hôte
  • port : port cible
  • use SSL : utilisation du protocole SSL (fixe la valeur du port à 443 par défaut)
Ygn ethical hacker group burpsuite intruder target 1.png

positions

Template

S'il est possible de paramétrer manuellement la fonction "intruder", il est beaucoup plus simple de sélectionner l'option "send to intruder" à partir du menu contextuel sur l'écran Target > Site map.

Les captures qui suivent présentent le code et le résultat d'une application de test PHP qui permet de tester la fonctionnalité d'importation automatique :

Ygn ethical hacker group burpsuite intruder code php.png Ygn ethical hacker group burpsuite intruder code php result.png

Le résultat capturé dans BurpSuite :

Ygn ethical hacker group burpsuite intruder 1.png Ygn ethical hacker group burpsuite intruder 2.png

Comme on peut le constater, les onglets "target" et "positions" sont remplis automatiquement. Les variables sur lesquelles "intruder" va intervenir apparaissent entre des marqueurs de position (§) en gras et en rouge dans l'onglet "positions". Il est possible de modifier le template une fois importé. Les boutons présents autour du template sont expliqués ci-dessous :

  • add § : insère un caractère § à l'endroit du curseur
  • clear § : supprime tous les caractères § du template
  • auto § : détection automatique des variables du template
  • refresh : recalcule les couleurs du template
  • clear : supprime l'intégralité du template
Attack type

Ygn ethical hacker group burpsuite intruder attack type 1.png

Une fois le template rempli, il est nécessaire de préciser le type d'attaque parmi le choix suivant :

Type attaque Description Nombre de combinaisons Cas d'utilisation
sniper Utilise une liste unique de payloads; les paramètres sont testés un à un avec chacune des valeurs de payload (nb de champs encadrés par des marqueurs de position) x (nb de payloads de la liste des payloads) permet de tester la vulnérabilité de champs de formulaire à des attaques (par exemple XSS)
battering ram : Utilise une liste unique de payloads; insère le même contenu (payload) dans chaque champ entouré des marqueurs de position Utilisé dans des attaques nécessitant la même valeur à plusieurs endroits de la requête HTTP (par exemple un nom d'utilisateur apparaissant dans l'en-tête Cookie et dans le corps du message) nb de payloads contenus dans la liste des payloads
pitchfork : Utilise autant de liste de payloads que de paramètres (dans la limite de 8); Les listes de payloads sont déchargées dans les paramètres jusqu'au dernier payload de la liste des payloads la plus courte. Utilisé dans des attaques nécessitant des paramètres liés au sein de la requête HTTP (par exemple un nom d'utilisateur dans un champ et son numéro identifiant dans un autre champ) nb de payloads contenus dans la plus petite liste des payloads
cluster bomb : Utilise autant de liste de payloads que de paramètres (dans la limite de 8); toutes les combinaisons sont testées, à la manière de molettes de cadenas à code. Par exemple, sur 2 deux listes de payloads, le premier payload de la première liste est testé avec chacune des valeurs de payloads de la deuxième liste. Le deuxième payload de la première liste est ensuite testé avec chaque valeur de payload de la deuxième liste, et ainsi de suite. Utilisé dans des attaques de brute-force (par exemple, une combinaison de noms d'utilisateurs et de mots de passe) (nb de payloads contenus dans la première liste) x (nb de payloads contenus dans la deuxième liste) x ...

payloads

payload sets

Cet onglet permet de préciser les payloads de l'attaque, c'est à dire la liste des valeurs à tester. Des pré-configuration sont disponibles dans la liste déroulante :

preset list

Permet de contruire une liste de valeurs libres. Les boutons sur la droite permettent d'ajouter des éléments (add), de charger la liste à partir d'un fichier (load), de coller une valeur (paste), de supprimer un valeur (delete) ou de supprimer toutes les valeurs de la liste (clear).

Ygn ethical hacker group burpsuite intruder payloadset presetlist.png
runtime file
Permet de charger un fichier externe (select file) Ygn ethical hacker group burpsuite intruder payloadset runtimefile.png
custom iterator
Permet de construire des "masques". Par exemple, si un identifiant est constitué d'une lettre, d'un point et de 4 chiffres, nous aurons le masque suivant §p1§§p2§§p3§§p4§ paramétré comme suit : Ygn ethical hacker group burpsuite intruder payloadset customiterator.png
character substitution

Cette option permet de tester différentes variantes de mots en fonction de caractères de substitution. Par exemple, si nous avons

a > 4
z > 2
e > 3
r
t > 7
y

alors les combinaisons possibles pour azerty seront :

azerty
4zerty
42erty
423rty
423r7y
...
Ygn ethical hacker group burpsuite intruder payloadset charsubst.png
case substitution

Cette option permet, à partir d'un liste, d'effectuer des substitutions sur la casse (minuscules et majuscules). Par exemple, pour la chaîne "jimCarreY" :

Substitution Résultat
no change jimCarreY (aucun changement)
to lower case jimcarrey (toutes les lettres en minuscules)
to upper case JIMCARREY (toutes les lettres en majuscules)
to Propername Jimcarrey (la première lettre en majuscules, toutes les suivantes en minuscules)
to ProperName JimCarreY (la première lettre en majuscules, toutes les suivantes inchangées)
Ygn ethical hacker group burpsuite intruder payloadset casesubst.png
recursive grep
Incomplete.png
INCOMPLETE SECTION OR ARTICLE
This section/article is being written and is therefore not complete.
Thank you for your comprehension.
illegal unicode

L'attaque consiste en l'utilisation d'un caractère joker pour le remplacer itérativement par une liste de caractères unicode illégaux. Ce type d'attaque peut être utilisé afin de forcer de masques de validation basé sur le "pattern-matching" (par exemple la fonction PHP preg_match).

Les options sont les suivantes :

Option Description
max overlong UTF-8 length

Par défaut, les caractères unicodes sont encodés sur un byte, mais il est possible de les encoder sur plusieurs bytes (overlong encoding). Ce champ permet de spécifier la longueur à utiliser (jusqu'à 6 bytes). En fonction de cette valeur, certaines options ne sont pas disponibles (voir description par option).

max encodings Fixe un plafond sur le nombre d'encodages illégaux générés, ce qui peut être utile dans le cas par exemple où "max permutations" est coché.
illegal UTF-8 variants

Cette option n'est disponible que pour des valeurs de "max overlong UTF-8 length" > 1 byte. La Cette option permet de malformer les bytes suivant le premier. La forme normale des bytes suivants le premier est du type 10XXXXXX. Dans la mesure où le premier byte contient des informations sur le nombre de bytes suivants, les deux premiers bits des bytes suivants le premier peuvent être ignorés par les routines de décodage. Cela permet d'ajouter les variantes suivantes : 00XXXXXX, 01XXXXXX et 11XXXXXX.

max permutations (1ère ligne)

Cette option n'est disponible que si :

  • le champ "max overlong UTF-8 length" > 2 bytes
  • l'option "illegal UTF-8 variants" est cochée

Lorsque cette option n'est pas activée, les bytes d'extension sont générés chacun avec une variante (voir option "illegal UTF-8 variants"). Lorsque l'option est activée, toutes les combinaisons sont testées. Ceci peut être utile pour forcer des contrôles avancés de pattern-matching.

add % prefix Permet l'insertion du caractère % devant chaque groupe de 2 caractères hexadécimaux
illegal hex Permet l'encodage hexédécimal (A à F pour remplacer les nombres 10 à 15) des payloads générés
max permutations (2ème ligne) Cette option est disponible si "max overlong ITF-8 length" est supérieur à 1 byte et que l'option "illegal hex" est cochée. Lorsque cette option n'est pas activée, les bytes sont générés chacun avec un code hexadécimal illégal (voir option "illegal hex"). Lorsque l'option est activée, toutes les combinaisons sont testées. Ceci peut être utile pour forcer des contrôles avancés de pattern-matching.
lower case hex Force l'utilisation de minuscules dans l'écriture des caractères hexadécimaux.

Ygn ethical hacker group burpsuite intruder payloadset illegalunicode.png

Ygn ethical hacker group burpsuite intruder payloadset illegalunicode results.png

character blocks

Cette attaque permet la génération de suite d'un même caractère.

  • base string : caractère de base, à dupliquer
  • min length : taille minimale de la chaîne
  • max length : taille maximale de la chaîne
  • step : pas (incrément) de taille de chaîne entre deux itérations
Ygn ethical hacker group burpsuite intruder payloadset charblocks.png
numbers

Range :

  • from : définit la borne inférieure de l'intervalle
  • to : définit la borne supérieure de l'intervalle
  • step : Uniquement disponible pour le mode "sequential". Définit le pas (incrément) entre deux générations.
  • how many : Uniquement disponible pour le mode "random". Définit le nombre d'éléments à générer

format :

  • min integer digits : Permet de définir le nombre de caractères minimaux que doit contenir la partie entière. Complète éventuellement par des "0". Par exemple "1" sera transformé en "01" avec une valeur de "2" dans ce champ.
  • max integer digits : Permet de définir le nombre de caractères maximaux que doit contenir la partie entière. Tronque le nombre généré le cas échéant. Par exemple, "1234" sera transformé en "12" avec une valeur de "2" dans ce champ.
  • min fraction digits : Uniquement disponible pour le mode "decimal". Définit le nombre de caractères minimaux que doit contenir la partie décimale. Complète éventuellement par des "0". Par exemple, "12,3" sera transformé en "12.30" pour une valeur de "2" dans ce champ.
  • max fraction digits : Uniquement disponible pour le mode "decimal". Tronque la partie décimale le cas échéant. Par exemple, "12,345" sera transformé en "12,34" pour une valeur de "2" dans ce champ.

modes :

  • sequential vs random : le mode sequential permet une génération continue entre les deux bornes (champs "from" et "to") de l'intervalle alors que le mode random permet une génération de nombres aléatoires, compris entre les deux bornes de l'intervalle.
  • decimal vs hex  : le mode decimal permet une génération de nombres décimaux alors que le mode hex généères des nombres au format hexadécimal.
Ygn ethical hacker group burpsuite intruder payloadset numbers.png
dates

Ce type de payload permet de générer automatiquement des dates comme payload. Les champs sont détaillés ci-dessous :

  • from : date de début
  • to : date de fin
  • step : pas (incrément) entre deux dates générées
  • format : format pré-défini ou personnalisé. Pour ce dernier, la syntaxe permet de construire n'importe quel format de date avec :
Caractère Description Exemple
E Nom abrégé (3 caractères) du jour de la semaine Mon, Tue, ..., Sun
EEEE Nom complet du jour de la semaine Monday, Tuesday, ..., Sunday
d Numéro du jour dans le mois 1, 2, ..., 31
dd Numéro du jour (sur 2 caractères) dans le mois 01, 02, ..., 31
M Numéro du mois dans l'année 1, 2, ..., 12
MM Numéro du mois (sur 2 caractères) dans l'année 01, 02, ..., 12
 MMM Nom abrégé (3 caractères) du mois Jan, Feb, ..., Dec
MMMM Nom complet du mois January, February, ..., December
yy Année (sur 2 caractères) 08, 09, 10, ...
yyyy Année (sur 4 caractères) 2008, 2009, 2010
Ygn ethical hacker group burpsuite intruder payloadset dates.png
brute forcer
Cette attaque permet de tester toutes les combinaisons possibles, à partir d'un jeu de caractères, dans une taille définie entre une borne inférieure et une borne supérieure. Ygn ethical hacker group burpsuite intruder payloadset bruteforcer.png
null payloads
Cette attaque permet d'envoyer une chaîne vide (NULL) à l'emplacement du marqueur de position. Si d'autres paramètres sont précisés dans la requête sans marqueur de position, cela permet d'exécuter la requête sans modification un nombre de fois limité (generate) ou illimité (continue indefinitely). Cette attaque peut être utilisée pour tester une application face à un déni de service (DoS pour Denial of Service en anglais). Ygn ethical hacker group burpsuite intruder payloadset nullpayloads.png
Traitements sur les payloads

Les options qui suivent (case, match/replace et encode) s'appliquent au titre de traitements additionnels sur les payloads.

case
  • do not modify : N'effectue aucune modification concernant la casse (majuscules/minuscules).
  • to lower case : transpose tous les payloads en minusules
  • to upper case : transpose tous les payloads en majuscules
  • to Propername : transpose tous les payloads avec la première lettre en majuscule et toutes les suivantes en minuscules
  • to ProperName : transpose tous les payloads avec la première lettre en majuscule (les lettres suivantes restant inchangées).
Ygn ethical hacker group burpsuite intruder payloadprocessing case.png
match/replace
  • match regex : permet de spécifier un masque d'expression régulière pour modification de tout payload correspondant au masque.
  • replace with : permet de spécifier le remplacement à opérer sur le payload.
  • replace all : Si cette option n'est pas cochée, seule la première occurence est remplacée. Dans le cas contraire, toutes les occurences sont impactées par le remplacement.
Ygn ethical hacker group burpsuite intruder payloadprocessing matchreplace.png
encode
  • do not encode : Pas de traitement des payloads concernant l'encodage.
  • URL-encode these characters : Permet d'encoder une liste de caractères dans la norme URL-encode.
  • base-64 encode : Permet d'encoder les payloads dans la norme base-64.
  • hash : Permet de d'encoder chaque payload dans l'une des normes suivantes : SHA-256, SHA-512, SHA, SHA-384, MD5, MD2
  • add prefix : Ce champ n'est disponible que pour les options "base-64 encode" et "hash". Il permet d'ajouter un préfixe qui ne sera pas encodé. Ceci peut être utilisé par exemple pour des opérations de brute-force à partir d'un identifiant connu, et sur lequel on recherche le mot de passe.
  • add suffix : Ce champ n'est disponible que pour les options "base-64 encode" et "hash". Il permet d'ajouter un suffixe qui ne sera pas encodé.
Ygn ethical hacker group burpsuite intruder payloadprocessing encode.png

Menu

Une fois le paramétrage de l'attaque effectué, c'est à partir de l'option "Start" du menu que l'attaque est lancée. Ygn ethical hacker group burpsuite intruder menu.png

Fenêtre d'attaque

La fenêtre d'attaque a la forme suivante (voir capture ci-contre). Il est possible de double-cliquer sur les entrées pour afficher le détail de la requête, mais également d'envoyer chacune des requêtes vers le "repeater" ou le "comparer" en cliquant avec le bouton droit de la souris sur les entrées. Ygn ethical hacker group burpsuite intruder attackpopup.png