{"id":135,"date":"2023-06-03T14:57:48","date_gmt":"2023-06-03T12:57:48","guid":{"rendered":"https:\/\/www.fabriziogiancola.eu\/?p=135"},"modified":"2023-09-01T10:44:22","modified_gmt":"2023-09-01T08:44:22","slug":"burp-suite","status":"publish","type":"post","link":"https:\/\/www.fabriziogiancola.eu\/index.php\/2023\/06\/03\/burp-suite\/","title":{"rendered":"Exploiting Authentication and Access Control Mechanisms with Burp Suite"},"content":{"rendered":"\n

Exploiting Authentication and Access Control Mechanisms with Burp Suite<\/a>.<\/p>\n\n\n\n

In questo articolo ho raccolto in maniera pi\u00f9 o meno ordinata alcuni appunti presi durante il relativo corso seguito su Hakin9<\/a>, alla cui piattaforma rimando per il materiale necessario.<\/p>\n\n\n\n

Note sulla Burp Suite Community Edition.<\/strong><\/p>\n\n\n\n

\u00c8 stata utilizzata la versione Community Edition e attese le limitazioni imposte dalla da tale versione, occorre installare alcune  estensioni. Nel tab Extender\/BAppStore cercare e installare \u201cTurbo Intruder<\/em>\u201d e \u201cJWT Editor<\/em>\u201d.<\/p>\n\n\n\n

In Proxy\/HTTPhistory viene mostrata l\u2019interazione con sito: request\/response
In Target\/Scope aggiungere in \u201cInclude in scope<\/em>\u201d l\u2019url del sito target in modo tale da visualizzare solo quello e non eventualmente altro contenuto web visitato. Quindi in Proxy\/HTTPhistory cliccare sulla riga dei filtri e spuntare \u201cShow only in-scope items<\/em>\u201d.<\/p>\n\n\n\n

User Enumeration.<\/strong><\/p>\n\n\n\n

Con Burp Suite professional: clic tasto destro del mouse sulla riga nell\u2019HTTPhistory (host\/method\/url \u2026) quindi \u201cSend to Intruder<\/em>\u201d e poi tab Intruder.<\/p>\n\n\n\n

Con Burp Suite CE: tasto dx, \u201cExtensions>Turbo Intruder>Send turbo intruder<\/em>\u201d.<\/p>\n\n\n\n

Dopo aver tentato il login con credenziali errate, nella finestra \u201cHTTPhistory\u201d seleziono la riga che ha come metodo \u201cPOST\u201d (ed ha anche i parametri) e invio a \u201cIntruder<\/em>\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nella finestra \u201cRaw<\/em>\u201d di Intruder sostituisco il valore assegnato a \u201cusername<\/em>\u201d con l\u2019operatore %s, al quale verranno passati gli username elencati nella lista \u201cusers\u201d mediante il ciclo for:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dall\u2019elenco prodotto dal risultato \u00e8 possibile notare che l\u2019utente \u201ccathy<\/em>\u201d ha i campi \u201cWords\u201d e \u201cLength<\/em>\u201d differenti dal resto degli username, questo significa che la pagina di login ha risposto in maniera diversa per questo utente, probabilmente perch\u00e9 \u00e8 un username valido:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nalla finestra \u201cRaw\u201d assegno a username il nome \u201ccathy\u201d, mentre a password l\u2019operatore %s e modifico il ciclo for in modo tale che a \u201c%s\u201d vengano passati gli elementi della lista \u201cpasswords\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dall\u2019elenco del risultato \u00e8 possibile notare che la password \u201c1337ing<\/em>\u201d ha valore \u201cWord<\/em>\u201d e \u201cLengh<\/em>\u201d differenti, a significare che \u00e8 la password corretta per l\u2019utente \u201ccathy<\/em>\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Infatti, inserendo le credenziali \u201ccathy\u201d e \u201c1337ing<\/em>\u201d, ottengo l\u2019accesso.<\/p>\n\n\n\n

Brute Force Evasion.<\/strong><\/p>\n\n\n\n

Nel tab Proxy ci sono le finestre \u201cRequest\u201d e \u201c Response\u201d, poich\u00e9 in queste non possiamo scrivere  per modificarne il contenuto (Request) e verificarne l\u2019esito (Response), viene usato il \u201cRepeater<\/em>\u201d<\/p>\n\n\n\n

Tasto dx mouse sulla riga in HTTPhistory e \u201cSend to Repeater<\/em>\u201d e verr\u00e0 attivato il relativo tab.<\/p>\n\n\n\n

In alto a sinistra compare un numero, che si raccomanda di cambiare per avere traccia delle modifiche con un doppio clic, ad esempio in \u201cBrute-force evasion<\/em>\u201d se stiamo tentando un attacco brute force.<\/p>\n\n\n\n

Uno dei possibili utilizzi \u00e8 quello di superare il ban temporaneo quando si tenta di fare login per un certo numero di volte con credenziali errate.<\/p>\n\n\n\n

Nella finestra \u201cRequest\u201d di Repeater si pu\u00f2 modificare il codice inserendo ad esempio la riga \u201cX-Forwarded-For: 192.168.12.92<\/em>\u201d nella quale si fornisce un IP fittizio da modificare raggiunto il numero dei tentativi concessi:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Sulla finestra \u201cRequest<\/em>\u201d tasto dx del muose > \u201cExtensions>Turbo Intruder>Send turbo intruder<\/em>\u201d, andiamo a modificare l\u2019html sostituendo le ultime cifre dell\u2019IP con l\u2019operatore di formattazione %s<\/strong> e assegnando a username=%s<\/strong>, mentre con lo script di Python li gestiremo mediante un ciclo for:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

e cos\u00ec anche per le passwords:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Note:<\/strong> oltre a \u201cX-Forwarded-For:<\/em>\u201d, \u201cX-Forwarded-By:<\/em>\u201d \u201cX-Real-IP:<\/em>\u201d, \u201cX-Forwarded-Host:<\/em>\u201d<\/p>\n\n\n\n

\n\n\n\n

Dopo aver tentato il login con credenziali errate, nella finestra \u201cHTTPhistory\u201d seleziono la riga che ha come metodo \u201cPOST\u201d (ed ha anche i parametri) e invio a \u201cIntruder<\/em>\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nella finestra \u201cRaw<\/em>\u201d di Intruder sostituisco il valore assegnato a \u201cusername<\/em>\u201d con l\u2019operatore %s, al quale verranno passati gli username elencati nella lista \u201cusers\u201d mediante il ciclo for:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Purtroppo dopo aver lanciato lo script non ottengo nessuna informazione utile a causa dell\u2019IP-based block protection<\/mark>:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Per aggirare l\u2019 IP-based block protection<\/em> dalla finestra \u201cHTTPhistory\u201d invio la precedente riga (quella con URL del login e con metodo \u201cPOST\u201d) al \u201cRepeater<\/em>\u201d che mi permetter\u00e0 di modificare il codice html nella  finestra \u201cRaw\u201d di \u201cRequest\u201d. Posso cos\u00ec bypassare la protezione utilizzando l\u2019assegnazione a \u201cX-Real-IP:<\/em>\u201d di un indirizzo IP fittizio. Poi premo \u201cSend\u201d per inviare la richiesta e poi invio a \u201cIntruder<\/em>\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ora modifico le ultime cifre dell\u2019IP appena inserito con l\u2019operatore %s e il valore assegnato a username sempre con l\u2019operatore %s, in questo modo con il ciclo for posso inviare oltre i valori della lista \u201cusers\u201d anche valori numerici (in questo caso in un intervallo da 0 a 100) come ultime cifre dell\u2019indirizzo IP; questo mi permetter\u00e0 di avere ad ogni richiesta di login un IP differente e quindi bypassare l\u2019 IP-based block protection<\/em>:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Infatti, ora riesco a bypassare la protezione sull\u2019IP e posso notare che l\u2019utente \u201canonymous<\/em>\u201d ha valori \u201cWords\u201d e \u201cLength<\/em>\u201d differenti dagli altri username:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Modifico script, nella finestra \u201cRaw\u201d assegno a username il nome \u201canonymous<\/em>\u201d, mentre a password l\u2019operatore %s e modifico il ciclo for in modo tale che a \u201c%s\u201d vengano passati gli elementi della lista \u201cpasswords\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

L\u2019esecuzione dello script mostra che la password \u201cunknown<\/em>\u201d ha valori \u201cWords\u201d e \u201cLength<\/em>\u201d differenti dagli altri a significare che abbiamo trovato la password per l\u2019utente \u201canonymous<\/em>\u201d:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Utilizzando le credenziali cos\u00ec ottenute, riesco ad eseguire l\u2019accesso correttamente alla pagina.<\/p>\n\n\n\n

Wordlist:<\/strong><\/p>\n\n\n\n