sábado, 22 de junio de 2013

Fuerza Bruta con Burp Suite

Entre muchas otras opciones que tenemos con Burp Suite, podemos hacer un ataque de fuerza bruta. Al estilo de Hydra podemos obtener acceso al panel de administración de nuestro objetivo.

Sin embargo, la gran diferencia que radica entre Hydra y Burp Suite, es que Hydra está pensado exclusivamente para hacer fuerza bruta mediante, diccionarios, combinaciones Alfanuméricos, etc. Y Con Burp Suite se pueden llegar hacer molificaciones en la peticiones a la página web, permite la opción de un spider, y algunas otras opción que son de gran utilidad.

En este post nos vamos a basar en la parte del Intruder. Con ella haremos un ataque por fuerza bruta al panel de administración de un Wordpress y un Joomla.

El primer paso sería configurar el proxy de nuestro navegador para que las peticiones sean redirigidas a Burp Suite. Burp Suite interceptará la petición del navegador.

Img 1: Foxyproxy configurado para Burp Suite
Cada uno es libre de elegir la configuración que mejor le convenga. Yo en este caso he utilizado Foxyproxy para configurar el proxy y que nuestra navegación pase por Burp Suite. Aunque Foxy proxy no es necesario, ya que se puede configurar el propio proxy de Firefox (o de nuestro navegador) para mi es de gran ayuda, ya que me permite tener configurados un gran número de proxys.

Ya tenemos configurado el proxy de nuestro navegador para que la salida de los datos lo haga a través de 127.0.0.1 puerto 8080.

Veamos como configurar Burp Suite.

Img 2: Configuración Proxy de Burp Suite.

Esto nos permitirá capturar la información desde nuestro navegador.
Ahora ya estamos listos. Abrimos nuestro navegador, buscamos la página a la que queremos acceder mediante fuerza bruta, y en este momento activamos el proxy.

Img 3: Panel de Login a la administración de Wordpress con Foxyproxy activado.
Una vez aquí, en el momento que nosotros le demos al Enter, Burp Suite interceptará la conexión. Pero antes hemos de activar esta opción para que sea posible.

Img 4: Conexión interceptada. Burp Suite.
Ahora que ya tenemos capturada la conexión podríamos hacer infinitas cosas tal y como he comentado al principio del post, pero nosotros nos centraremos en un ataque de fuerza bruta. Así es, enviamos esta captura al Intruder de Burp Suite y configuramos el Payload position de tal manera que se modifiquen los campos pass y user.

Img 5: Intruder Burp Suite.
Ya casi estamos llegando, el último paso sería configurar el tipo de ataque y los payload a nuestro gusto.
El tipo de ataque que utilizaremos será Cluster bomb, y los payload será configurados de la siguiente manera:

Payload 1: Sample List (este pertenecerá al primer campo, user)
Payload 2: Sample List (Este hace referencia al campo de la contraseña)

Img 6: Payload 1. User
Img 7: Payload 2. Contraseña

Aunque en las imágenes veáis solo unos usuarios y unas pocas contraseñas, la idea es cargar un diccionario (tipo facebook) o combinar las numerosas opciones, tipo, combinación de números, letras, rango de caracteres, etc.
Lanzamos nuestro ataque y esperamos a obtener el resultado.

Img 8: Obtención de usuario y contraseña.

Conseguido, ya tenemos el nombre de usuario y contraseña. Sabemos que el usuario y la contraseña son esos por dos motivos, el primero es el Status 302, eso indica que todo está OK, y el segundo es la longitud o tamaño ( Columna lenght) que indica que el tiempo de respuesta a sido mucho menos que en el resto y eso evidentemente solo puede significar que el acceso a sido satisfactorio.