Web Pentest - Bài 1: Burp Academy và Giới thiệu về Burp Suite

bobby13689

VIP Members
27/04/2017
44
46 bài viết
Web Pentest - Bài 1: Burp Academy và Giới thiệu về Burp Suite
upload_2021-5-6_14-21-54.jpeg

Chào tất cả mọi người.

Thể theo nhu cầu của các bạn (ở trên trang facebook của Whitehat và trên Whitehat.vn), mình sẽ xây dựng một chuỗi các bài viết về Web Pentest. Nếu bạn là newbie, mới nghe, biết đến Web Pentest, thì đây là chuỗi bài dành cho bạn.

Let's get start.

Ở bài 1 này, chúng ta sẽ thực hiện cài đặt công cụ cơ bản để có thể bắt đầu. Vì mục đích là dành cho các bạn mới tìm hiểu, mình sẽ không ưu tiên việc sử dụng các công cụ dò quét tự động để tìm lỗi. Chúng ta sẽ đi từ những thứ cơ bản nhất, cần thiết nhất, như thế, sẽ hiểu rõ hơn về bản chất, sau đó mới đi đến việc sử dụng công cụ tự động.

Phần 1: Yêu cầu

Phần 2: Giới thiệu Burp Suite 2021

Hiện tại, phiên bản mới nhất của Burp Suite là 2021.4.3, khác biệt rất nhiều so với bản 1.7.x của Burp Suite lúc trước, có một số tính năng đã bị giản lược, giao diện thay đổi và tối ưu nhiều hơn, nên mình sẽ giới thiệu mới, (vì trên diễn đàn đã có bài giới thiệu về Burp bản 1.7)

  • Khi mới mở lên, giao diện ban đầu sẽ như hình dưới đây.
    upload_2021-5-6_12-48-10.png
  • Ở giao diện Dashboard, sẽ có các thông tin về các Task đang được chạy, Event log, phía bên phải là các lỗ hổng đã tìm thấy (chỉ áp dụng cho bản Burp Suite Pro, bản Community chỉ show các demo mà thôi). Lưu ý là các thông tin ở Event Log khá quan trọng, một số trường hợp gặp lỗi, liên quan đến certificate, lỗi kết nối sẽ được hiển thị ở đây, giúp bạn nhanh chóng troubleshoot hơn.
  • Tiếp đến là giao diện tab Target
    Screen_Shot_2021-05-06_at_11.47.11.png

    Ở Target, sẽ có thông tin về các sites được truy cập, các request được thực hiện trên các site này, bạn có thể nhấn nút > ở trong mỗi site, để xem dưới dạng cây, sẽ có cái nhìn trực quan hơn về target. Cũng ở trong Target, có subtab Scope, dùng để chỉ định những Site nào thuộc scope, phục vụ việc filter các request nhanh chóng hơn (mình sẽ đề cập phần này ở một bài khác, có thể là nâng cao!).
  • Tiếp đến là giao diện tab Proxy, phần quan trọng nhất của Burp Suite. Tab HTTP history sẽ lưu lịch sử các request được thực hiện trong quá trình tương tác với ứng dụng. Bạn sẽ sử dụng các thông tin này để xem chi tiết request, response của ứng dụng.

    Từ tab Proxy, bạn có thể chọn một request và gửi request này đến các tool khác trong Burp, như Repeater, Intruder, Comparer, ...

    Ở bản mới này, Burp Suite có embed Chromium vào bên trong, cho phép bạn không cần phải tự cấu hình một trình duyệt mới để đẩy request sang Burp nữa, rất tiện lợi.

    Cách mở: Ở dưới tab Proxy, bạn chọn subtab Intercept, nhấn Open Browse

    upload_2021-5-6_14-13-54.png


    Bạn nhớ chọn Intercept is off, để ứng dụng chưa Intercept request của bạn (phần này sẽ được đề cập ở một bài sau, sẽ có lúc chúng ta dùng tới tính năng này).

    Khi trình duyệt Chromium được khởi chạy, bạn vào một trang web bất kì, whitehat.vn chẳng hạn, và xem các request được ghi nhận ở trong tab HTTP Proxy.

  • Tab tiếp theo là Intruder, được sử dụng để brute force username/password, directory, hoặc dùng để test IDOR,..., phần này rất quan trọng, và khá dài, do đó mình sẽ mô tả ở một bài viết khác.

    upload_2021-5-6_14-17-3.png

  • Kế bên tab Intruder, là Repeater, thành phần không thể thiếu trong mỗi lần pentest của chúng ta. Các request ở trong tab Target, Proxy khi chọn "Sent request to Repeater" sẽ được hiển thị ở đây. Tại giao diện này, cho phép chúng ta có thể chỉnh sửa bất kì thành phần nào của request, từ method, headers, parameters,... Sau khi chỉnh sửa request xong, bạn nhấn Send để gửi request đến server.
    upload_2021-5-6_13-13-32.png


    Vì sao mình gọi đây là thành phần không thể thiếu trong mỗi lần pentest, là bởi vì việc tấn công một target, đòi hỏi chúng ta phải gửi những payload khác nhau, ở những vị trí khác nhau của ứng dụng. Bản chất của những công cụ tự động cũng tương tự.

    Việc tự thay đổi request như thế này, cho phép chúng ta thử toàn bộ các payload mà chúng ta có, hoặc gửi payload để tìm thêm thông tin về ứng dụng, tìm các input được reflect trong response (khi tìm lỗ hổng XSS), hoặc xem kết quả trả về khi chúng ta nhập payload là SQL injection payload,..., và để làm những tác vụ đó, Repeater là giải pháp tốt nhất để thực hiện.

    Khi đi vào các ví dụ cụ thể, các bạn sẽ thấy, chúng ta sử dụng nó rất nhiều.
  • Tiếp đến là tab Sequencer, được dùng để phân tích các token trong ứng dụng, được sử dụng nhiều để xem mức độ phức tạp của thuật toán tạo token, xem có dễ bị dò đoán hay không.
    upload_2021-5-6_13-13-51.png
  • Tiếp đến là tab Decoder, dùng để encode, decode những thông tin mà người dùng nhập vào, ví dụ decode Base64, encode MD5, ..., cũng được sử dụng rất nhiều.

    upload_2021-5-6_13-14-15.png

  • Tab Comparer, dùng để so sánh các request, response khác nhau, do bạn gửi vào (thông qua Proxy tab hoặc Target tab, bằng việc nhấn chuột phải vào request, và chọn "Sent to Comparer"). Chức năng này rất hữu dụng trong việc tìm điểm khác nhau giữa 2 request, trong trường hợp request quá lớn để xem bằng mắt thường.
upload_2021-5-6_13-13-9.png
  • Tab Logger được dùng để log lại tất cả các request được thực hiện trên Burp, các bạn sẽ thắc mắc là vì sao đã có Proxy History rồi, lại cần có Logger? Vì một số extension, scanner (bản Pro) sẽ gửi các request mà không được lưu lại ở trên Proxy History, nên cần có một nơi để log lại, để bạn xem được toàn bộ request, trong trường hợp bạn muốn biết ứng dụng có đang chạy scan gì hay không.
    upload_2021-5-6_13-15-56.png
  • Tab Extender: Ở tab này, cho phép bạn thêm mới các extension có sẵn của Burp, hoặc thêm những extension do chính bạn phát triển (phần này rất hay, và hỗ trợ chúng ta rất nhiều, mình sẽ dành hẳn 1 bài riêng để hướng dẫn cách viết, các bạn chờ đọc nhé).
    • Các extensions này sẽ giúp chúng ta rất nhiều trong việc pentest, ví dụ: làm cho request trông gọn gàng hơn, tự động gửi những request tương tự, thay đổi một tham số nào đó,..
      upload_2021-5-6_13-16-55.png
  • Hai tab Project Options và User Options được dùng để cấu hình về xác thực (khi pentest các ứng dụng yêu cầu xác thực mới vào được), hoặc chỉnh Upstream proxy, để đẩy request từ Burp đến các proxy khác (dùng khi tương tác với nhiều thành viên khác nhau, để tập trung các request của nhiều tester về một nơi duy nhất, ..)
Phần 3: Giới thiệu về Burp Academy
  • Sau khi tạo tài khoản và đăng nhập thành công, bạn truy cập https://portswigger.net/web-security/learning-path để lựa chọn những thử thách và bắt đầu hacking thôi.
  • Ở đây sẽ có khá nhiều loại bug cho bạn bắt đầu luyện tập, họ có tạo learning path cho bạn, để hướng dẫn các hướng đi cho những người mới bắt đầu.
  • Lý do mình chọn Burp Academy để giới thiệu cho các bạn, là vì tác giả của khoá này, cũng chính là tác giả của cuốn The Web application hacker handbook, một cuốn sách rất nổi tiếng và được tham khảo rất nhiều bởi các hacker nổi tiếng.
    Các lab ở đây đều được cập nhật theo thời gian, có theo các trend, và đặc biệt, cho người học một cái nhìn rất tổng quan, nhưng cũng rất chi tiết về các loại lỗi, cách thức hoạt động, và cách thức khai thác các lỗi này.
Các bạn hãy tự tay trải nghiệm Burp Suite và các lab này nhé, nếu có thắc mắc gì thì comment phía dưới, chúng ta sẽ cùng thảo luận

Ở trong các bài tới, mình sẽ sử dụng Burp và các bài lab này để làm công cụ training, cũng như đi sâu hơn về một số tính năng như mình có đề cập ở trên, như Intruder, Sequencer, ...

Hẹn các bạn ở các bài tiếp theo.

Happy Hacking!


Các bài khác trong series này:
Bài 2: https://whitehat.vn/threads/web-pen...-force-de-do-tim-duong-dan-va-password.14754/
Bài 3: https://whitehat.vn/threads/web-pentest-bai-3-thu-thap-thong-tin-cua-ung-dung.14792/
 
Chỉnh sửa lần cuối:
m có đăng ký tài khoản trên portswigger nhưng không thấy mail xác nhận được gửi về
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
m có đăng ký tài khoản trên portswigger nhưng không thấy mail xác nhận được gửi về
Bạn thử chờ trong 30p đến 1h xem nó gửi về không, hoặc check trong thư mục Spam của email xem. Nếu vẫn không có thì thử tạo lại một lần nữa xem sao.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn ơi. Thời khóa biểu của bài hướng dẫn này là hôm nào thế?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn ơi. Thời khóa biểu của bài hướng dẫn này là hôm nào thế?
Dự kiến là thứ 5 hàng tuần, đến khi xong series này. Hoặc nếu có update, thì mình sẽ thông báo ở thread này nhé. Thank you.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Minh Hoàng
Comment
anh ơi, cho em hỏi là nên cài burp suite trên linux hay window vậy ạ. Mình có thể dùng burp suite hỗ trợ sẵn trong kali linux đươck không anh.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
anh ơi, cho em hỏi là nên cài burp suite trên linux hay window vậy ạ. Mình có thể dùng burp suite hỗ trợ sẵn trong kali linux đươck không anh.
Bản có sẵn trong Kali cũng được đấy bạn. Burp Suite hỗ trợ trên cả 3 hệ điều hành (Mac, Linux, Windows), tất cả chúng đều giống nhau, nên Windows hay Linux gì cũng OK bạn nhe.

Thank you.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bản có sẵn trong Kali cũng được đấy bạn. Burp Suite hỗ trợ trên cả 3 hệ điều hành (Mac, Linux, Windows), tất cả chúng đều giống nhau, nên Windows hay Linux gì cũng OK bạn nhe.

Thank you.
Dạ.Em cảm ơn ạ. Hóng bài 3 của anh :)))
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Dạ em cháo a. Cảm ơn a vì đã tạo khóa học bổ ích này. Em có một câu hỏi là a có cho em đường link đến cuốn sách mà a bảo dc ko The Web hacker handbook, bản nào là bản mới nhất của nó vậy a. Tại em tìm trên mạng thì thấy nhiều cuốn trùng nhau quá ko biết tìm cuốn nào. Mong a giải đáp giúp ạ. Em cảm ơn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: bobby13689
Comment
Dạ em cháo a. Cảm ơn a vì đã tạo khóa học bổ ích này. Em có một câu hỏi là a có cho em đường link đến cuốn sách mà a bảo dc ko The Web hacker handbook, bản nào là bản mới nhất của nó vậy a. Tại em tìm trên mạng thì thấy nhiều cuốn trùng nhau quá ko biết tìm cuốn nào. Mong a giải đáp giúp ạ. Em cảm ơn
Chào bạn,

Cho mình gửi link bản mới nhất của cuốn "The Web application hacker handbook" bạn nhé: https://www.amazon.com/Web-Application-Hackers-Handbook-Exploiting/dp/1118026470
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
sao em tải về mà phần target bị mất ô scope rồi bác, không lẽ là do tính năng mới chăng
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
3 Comments
tuantran
tuantran
Bạn tải version mấy thế. HIện tại mình check thì đang còn.
 
Q
em tải version 2023.9.1 linux
 
tuantran
tuantran
a check trên win vs mac bt mà chưa check tren linux. không biết có vấn đề gì ko nhỉ?
 
Thẻ
academy burp burpsuite hacking pentets web
Bên trên