今回は、Burpsuiteの使い方について書いて行きたいと思います。
自分が所有していない機器には、絶対に使用してはいけません。
各種情報セキュリティ関連法令に引っかかります。
また、責任を負いかねます。
Burpsuiteとは
まず、Burpsuiteとは何か説明していきたいと思います。
Burpsuiteとは、ローカルプロキシの役割をします。
詳しく説明すると、ブラウザとWEBサーバーの間に入り、情報の改ざんや入力された内容を見ることができるGUIセキュリティツールです。
Burpsuiteは有償の製品版と無料のコミュニティ版がありますが、コミュニティ版でも十分に使うことができます。
また、OSはlinux・Windows・Macに対応しています。
Burpsuiteのダウンロード方法は、公式サイトに飛べば分かるのでここでは、割愛して、burpsuiteの具体的な使い方について書いていきます。
入力された内容を覗き見
Burpsuiteを開いたら、
プロジェクトとして保存してければ、New projectを押して、入力。
特に保存したくなければ何も変更せずに、nextを押します。
次も一緒。
この画面になったら、上から2段目の列のProxyを押します。
ここでは、自分のpcにローカルプロキシを立ち上げてBurpsiteの動きを知るだけなので、openbrowserを押して、ブラウザを開く。
では、早速ブラウザに入力された内容を覗き見していきます。
上で立ち上げたブラウザで、評価したいサイトにアクセスします。
ここに入力していきます。
ちなみに、burpsuiteの「intersept is on」は、通信をキャプチャしている状態で、
「forward」は、開いたブラウザに適用
「drop」は、キャプチャを破棄
「action」タブで細かな設定ができます。
試しに、Username:の欄にadminと書き込んでみます。
すると、burpsuiteでブラウザからサーバーにリクエストされた内容が表示されます。
username=adminとなっていてburpsuiteを使用することによってサーバーにリクエストされた内容を覗き見できました。
情報の改ざん
情報の改ざんは、usernameとpasswordの部分を書き換えることができるというものです。
改ざんしたい箇所にカーソルを持っていき、普通のテキスト編集と同じ様に簡単に編集することができます。
ここでは、usernameをadminからqwertyに。passwordを空欄からuiopに書き換えました。
そして、forwardをクリックしてサーバーに編集したリクエストを送ることができます。
その結果の反映はここではブラウザに返されます。
パスワードの特定
qwertyユーザーのpasswordを特定しようとします。
改ざんするデータをProxyタブのInterceptで見つけたら、
テキストフォーム内で該当データを選択し、Send to Intruder を押します。
Intruderに移動します。
Positionsから調査するパスワードのパラメータを選び§§ではさみます。
Payloadタブへ移動します。
・パスワードをブルートフォースで調べたい場合
Payload typeでBrute forcerを選択して
Min lengthとMax lengthをお好みの値に変更して右上のStart Attackをクリックします。
・自分が持っていワードリストを使いたい場合
Payload typeでsimple listを選択して、
Payload OptionsのLoadで使いたいワードリストを選択します。
そして、右上のStart Attackをクリックします。
もし、passwordが当たった場合は、Lengthが他とは異なる数値を返すので、それがパスワードだと分かります。
終わり
ここでは、CTFで使うこともあるBurp suiteについて書いてきました。
ここまで読んでいただいた方ありがとうございました。
お疲れ様でした。
参考にさせていただいたサイト
豆知識
他ののpcのプロキシとして起動したい場合は、Intruderのipを対象のpcに変えればできます。