HAKATEMIA
22Työkalujen asennus ja käyttö

Ensimmäinen kosketus BurpSuite-ohjelmaan

Helppo10MIN

BurpSuite-ohjelmasta tulet löytämään paljon eri toimintoja sekä vipuja, mutta älä anna tämän lannistaa. BurpSuite-ohjelman käytön oppii nopeasti ja tulet huomaamaan usein tarvitsevasi vain muutamaa toiminnallisuutta päivittäisessä käytössä. Seuraavaksi käymme läpi muutamia ydintoiminnallisuuksia, joita BurpSuite-ohjelma tukee ja mihin työkalun käyttö perustuu.

HTTP-viestien tallentaminen

Aloita siirtymällä Proxy-sivulle ja paina *Open Browser -*nappia. Tämä avaa *chromium-*selaimen, joka on valmisteltu välittämään selaimen aiheuttaman liikenteen BurpSuite-ohjelmalle. Selaimen avauduttua, siirry takaisin BurpSuite-ohjelmaan, ja varmista että Proxy-sivun HTTP-pyyntöjen kaappaus (intercept) on kytketty päälle ("Intercept is ON"). Palaa sitten selaimeen, ja yritä navigoida osoitteeseen https://www.hakatemia.fi/.

Huomaat, että selain jää lataamaan kyseistä sivua. Siirry takaisin BurpSuite-ohjelmaan. Proxy-sivulla pitäisi nyt näkyä aiheuttamamme HTTP-pyyntö.

Proxy on intercept is on -tilassa, jonka johdosta jokainen selaimen aiheuttama viesti pysäytetään ja näytetään käyttäjälle. Voimme manipuloida pyyntöä, estää pyynnön tai välittää eteenpäin verkkosivulle asti *Forward-*napilla.

Voimme myös asettaa Proxy-ohjelman passiiviseen tilaan. Kun ohjelma on passiivisessa tilassa, se ei pysäytä viestejä, vaan viestin nähdessään, tallentaa kyseisen viestin ja välittää sen automaattisesti eteenpäin. Aseta ohjelma passiiviseen tilaan painamalla *Intercept is on -*nappia.

Huomaa, että *https://www.hakatemia.fi *latautui onnistuneesti selaimeen.

Siirry seuraavaksi *Target-*sivulle. Vasemmalla, näet listan kaikista verkkosivuista, joihin selain on tehnyt pyyntöjä.

Kohteen määrittäminen

Huomaa, että Hakatemia-verkkosivulle siirtyminen on aiheuttanut useita kyselyitä. Tämä johtuu siitä, että Hakatemia-verkkosivu käyttää erilaisia resursseja, joita ylläpidetään muilla verkkosivuilla.

Nämä resurssit voivat olla esimerkiksi kuvia, videoita, tyylitiedostoja, JavaScript-kirjastoja, jne.

Tulet huomaamaan, että koska verkkosivuilla on usein paljon riippuvuuksia resursseihin, jotka ladataan muista osoitteista, olisi käytännöllisempää, jos voisimme asettaa BurpSuite-ohjelman keskittymään vain tiettyihin verkkosivuihin, sillä emme halua vahingossa keskittyä väärän verkkosivun testaamiseen.

Kohdista BurpSuite-ohjelma keskittymään vain haluttuun kohteeseen, painamalla vasemman sivun listaamista osoitteista, *https://www.hakatemia.fi *osoitetta hiiren oikealla näppäimellä ja valitse *Add to scope. *Seuraavaksi BurpSuite kysyy haluatko lopettaa muiden verkkosivujen liikenteen tallentamisen, johon voit vastata kyllä, eli *yes. *

Nyt olemme määrittäneet kohteen, eli BurpSuite-ohjelma ei enää tallenna muiden verkkosivujen aiheuttamaa liikennettä. Seuraavaksi haluamme näyttää *Target *sivulla vain Hakatemia verkkosivun. Paina Filter-nappia, valitse Show only in-scope items -laatikko ja paina Apply-nappia tallentaaksesi filtteröintiasetuksen.

Näytä BurpSuite-ohjelman tallentama puu-rakenne *www.hakatemia.fi-*verkkosivusta painamalla listan vasemman reunassa olevaa nuolinäppäintä.

Repeater

Yksi BurpSuite-ohjelman käytetyimmistä työkaluista on Repeater-toiminnallisuus. Tämän avulla voimme helposti muokata ja lähettää HTTP-pyyntöjä, sekä näkemään miten verkkosivu vastaa näihin pyyntöihin.

Voit siirtää HTTP-pyynnön Repeater-sivulle painamalla BurpSuite-ohjelman tallentamaa HTTP-pyyntöä hiiren oikealla näppäimellä ja valitsemalla Send to Repeater.

Tämän jälkeen, siirry Repeater-sivulle. Tulet näkemään vasemmassa reunassa valitsemasi kyselyn, sekä oikeassa reunassa tyhjän vastausnäkymän. Paina *Send-*nappia. Tämä käskee BurpSuite-ohjelmaa lähettämään kyseisen HTTP-pyynnön verkkosivulle ja palauttamaan vastauksen.

Kokeile seuraavaksi muokata HTTP-pyyntöä, muokkaamalla resurssipolkua *GET-*direktiivin jälkeen asettamalla poluksi */test. *

Huomaa, että hakemaasi sivua ei löydy *https://www.hakatemia.fi *sivulta ja verkkosivu palautti HTTPvastauksen 404 Not found.

Loppusanat

Olemme nyt käyneet läpi miten BurpSuite-ohjelma asennetaan ja kuinka sen avulla pystyy tallentamaan sekä toistamaan selaimen tekemiä HTTP-pyyntöjä.

Suosittelemme rohkeasti kokeilemaan työkalun eri toiminnallisuuksia sekä etsimään vapaasti lisää tietoa työkalun tarjoamista mahdollisuuksista.

Hakatemia Pro

Hakkeroinnin oppiminen alkaa tästä

Sadat interaktiiviset kurssit, virtuaalilabrat ja CTF-haasteet selaimessasi. Aloita ilmainen kokeilu ilman korttitietoja.