Introducción
En esta tercera parte de la serie Burp Suite, aprenderá cómo recopilar tráfico proxy con Burp Suite y utilizarlo para lanzar y atacar con fuerza bruta. Se ejecutará de manera algo paralela a nuestra guía sobre cómo probar los inicios de sesión de WordPress con Hydra. En este caso, sin embargo, utilizará Burp Suite para recopilar información sobre WordPress.
El propósito de esta guía es ilustrar cómo se puede usar la información recopilada por el proxy de Burp Suite para realizar una prueba de penetración. No use esto en cualquier máquina o red que no sea de su propiedad.
Para esta guía, también necesitará tener instalado Hydra. No profundizará en cómo usar Hydra, puede consultar nuestra guía Hydra SSH para eso. Kali Linux ya tiene instalado Hydra de forma predeterminada, por lo que si está utilizando Kali, no se preocupe. De lo contrario, Hydra debería estar en los repositorios de su distribución.
Inicio de sesión fallido
Antes de comenzar, asegúrese de que Burp siga enviando tráfico a su sitio local de WordPress. Vas a necesitar capturar algo más de tráfico. Esta vez, te vas a centrar en el proceso de inicio de sesión. Burp recopilará toda la información que necesita para poder lanzar un ataque de fuerza bruta en la instalación de WordPress para probar la solidez de la información de inicio de sesión del usuario.
Navegue a http://localhost/wp-login.php . Eche un vistazo a esa solicitud y la respuesta generada. Realmente no debería haber nada emocionante allí todavía. Puede ver claramente el HTML de la página de inicio de sesión en la solicitud. Encuentra el form etiquetas Tome nota del name opciones para los campos de entrada en ese formulario. Además, tenga en cuenta la cookie que debe enviarse junto con ese formulario.
Es hora de recopilar información realmente útil. Ingrese un nombre de usuario y una contraseña que sepa que van a hacer que el inicio de sesión falle y envíelo. Consulte los parámetros que se enviaron con la solicitud. Puede ver claramente la información de inicio de sesión que envió junto con los nombres de los campos de entrada que vio en la fuente de la página. También puede ver el nombre del botón de envío y la cookie que se envía junto con el formulario.
Inicio de sesión exitoso
Con la información sobre un inicio de sesión fallido registrado en Burp Suite, ahora puede ver cómo se ve un inicio de sesión exitoso. Probablemente pueda adivinar cómo se verá la solicitud, pero la respuesta será algo sorprendente. Continúe y envíe una información de inicio de sesión correcta al formulario.
El envío exitoso generará varias solicitudes nuevas, por lo que tendrá que mirar hacia atrás para encontrar la solicitud fallida. La solicitud que necesita debe estar directamente después de ella. Una vez que lo tengas. Echa un vistazo a sus parámetros. Deben tener un aspecto muy similar pero con las credenciales correctas ingresadas.
Ahora, eche un vistazo a la respuesta del servidor. No hay HTML allí. El servidor redirige en respuesta a un envío de formulario exitoso. Los encabezados servirán como la mejor fuente de información, entonces, para probar inicios de sesión exitosos. Tome nota de la información que hay allí. Regrese y mire el inicio de sesión fallido. ¿Notas algo que estaba allí para el inicio de sesión exitoso y no para el inicio de sesión fallido? La Location El encabezado es un indicador bastante bueno. WordPress no redirige por solicitud fallida. La redirección puede servir como condición de prueba.
Uso de la información
Está listo para usar Hydra para probar la seguridad de sus contraseñas de WordPress. Antes de iniciar Hydra, asegúrese de tener una o dos listas de palabras para que Hydra pruebe los nombres de usuario y las contraseñas.
A continuación se muestra el comando que puede usar para probar sus contraseñas. Échale un vistazo primero, y el desglose está después.
$ hydra -L lists/usrname.txt -P lists/pass.txt localhost -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
El -L y -P Las banderas especifican las listas de palabras de nombre de usuario y contraseña para que Hydra realice la prueba. -V simplemente le dice que envíe los resultados de cada prueba a la consola. Obviamente, localhost es el objetivo Hydra debería cargar el http-form-post módulo para probar un formulario con una solicitud POST. Recuerde, eso también estaba en la solicitud de envío del formulario.
La última parte es una cadena larga que le dice a Hydra qué pasar al formulario. Cada sección de la cadena se separa con un : . /wp-login.php es la página que probará Hydra. log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1 es la colección de campos con los que Hydra debe interactuar separados por & . Tenga en cuenta que esta cadena usa los nombres de campo de los parámetros. ^USER^ y ^PASS^ son variables que Hydra completará a partir de las listas de palabras. La última pieza es la condición de prueba. Le dice a Hydra que busque la palabra "Ubicación" en las respuestas que recibe para ver si el inicio de sesión fue exitoso.
Con suerte, cuando Hydra complete su prueba, no verá ningún inicio de sesión exitoso. De lo contrario, tendrá que repensar su contraseña.
Pensamientos finales
Ahora ha utilizado con éxito Burp Suite como una herramienta de recopilación de información para realizar una prueba real de su instalación de WordPress alojada localmente. Puede ver claramente lo fácil que es extraer información valiosa de las solicitudes y respuestas recopiladas a través del proxy de Burp Suite.
La próxima y última guía de la serie cubrirá muchas de las otras herramientas disponibles en Burp Suite. Todos giran en torno al proxy, por lo que ya tienes una base sólida. Estas herramientas pueden facilitar algunas tareas.