Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Ilya Rusanen - Burp Suite + Python = <3

Moscow 2600
October 07, 2016
Programming
0
84

Ilya Rusanen - Burp Suite + Python = <3

Moscow 2600

October 07, 2016
Tweet

More Decks by Moscow 2600

See All by Moscow 2600
Decompilation
2600
0
57
Ivan Loskutov - Poor man’s serial debugging
2600
1
59
Sergey Sobko - Динамические оверлейные сети: передача трафика L3 через L7 с помощью Clojure
2600
0
430
Sergey Sobko - Жизнь одного плагина для Emacs: от идеи до попадания в меню M-x package-install
2600
0
280
Ilya Rusanen- Ansible, если ты не админ
2600
0
65
Sergey Sobko - Грабим почту, трекеры задач и репозитарии с Clojure
2600
0
320
Ilya Rusanen - Bye world, hi Docker
2600
0
73

Other Decks in Programming

See All in Programming
Goのエラースタックトレースの歴史と今後
sonatard
6
850
StoreKit2によるiOSのアプリ内課金のリニューアル
kangnux
0
110
検証も兼ねて個人開発でHonoとかと向き合った話
hanetsuki
0
460
PHPはいつから死んでいるかの調査
chiroruxx
1
370
ONE WEDGE_company_guide
1wedge_one
0
440
TYPO3 v13 – The road to LTS: What's new and new APIs
luisasofie_xoxo
0
190
Rethinking UI building strategies @ SFI 2024
letelete
0
270
Semantic search with Django and pgvector
pauloxnet
0
240
⼤規模⾔語モデルの拡張(RAG)が 終わったかも知れない件について
nearme_tech
23
15k
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
26
8.2k
雑に思考を整理する技術と効能
konifar
58
28k
今、知っておきたい! 生成AIエージェントの世界
elith
3
350

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
Building Applications with DynamoDB
mza
88
5.6k
What's in a price? How to price your products and services
michaelherold
237
11k
Facilitating Awesome Meetings
lara
41
5.6k
[RailsConf 2023] Rails as a piece of cake
palkan
22
3.9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.9k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
321
20k
Music & Morning Musume
bryan
41
5.6k
Embracing the Ebb and Flow
colly
79
4.1k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Designing for Performance
lara
601
67k

Transcript

  1. Burp Suite + Python = <3 f1nnix, @IlyaRusanen, f1nn.com, 2600,

    2k16 Делаем кастомный процессинг HTTP-ответов в Burp Suite для брутфорса Skype

  2. Burp Intruder — лучший друг вебхакера • позволяет перехватывать запросы

    прямо из браузера (в т.ч. и SSL если установлен rootCA) • позволяет задать параметры запроса • query-параметры • GET/POST-параметры • модифицировать запросы заданным набором пейлоадов • выводить все в результирующую таблицу для дальнейшего анализа

  3. Результаты пентеста в сводной таблице Intruder подставляет указанный payload set

    и реплеит запрос с каждым его элементом. Результаты выводятся в таблицу. Один ряд — один запрос с уникальным набором пейлоадов.

  4. Grep/Match и больше ничего Возможности анализа ответа нет. Единственное, что

    можно сделать — это грепнуть ответ по регулярке. Грепнутое значение будет выведено отдельным столбцом в результаирующей таблице.

  5. А если надо больше? 1.Процессинг данных локальным софтом 2.Анализ DOM-дерева

    3.Получение данных из внешних источников 4.Проведение комплементарных (ну и словечко!) атак с вычленением промежуточных результатов

  6. Суппорт 80лвл. Исправим?

  7. None

  8. Skype Number — настоящий номер Можно получить настоящий телефонный номер

    в любой стране мира. На него можно позвонить. С него можно позвонить. И стоит всего 18 евро.

  9. Выбираем страну, штат и local area 1 2 3

  10. Пробуем искать по паттерну 1. Ставим rootCA для поддержки SSL

    2. Вводим паттерн 3. Начинаем искать 4. Proxy перехыватвает запрос. 5. Посылаем его в Intruder и…

  11. Получаем данные для скана 1. Ставим rootCA для поддержки SSL

    2. Вводим паттерн 3. Начинаем искать 4. Proxy перехыватвает запрос. 5. Посылаем его в Intruder и…

  12. Запускаем скан В первый пейлоад кидаем список local areas, выдернутый

    их DOM-дерева регуляркой. Во второй — список крутых комбинаций

  13. PROFIT! Мы достали кучу номеров с 4444, 6666, 1337, 2600

    Отфитровано просто по длине ответа серера

  14. Но как выдернуть и показать
 в таблице сами номера? Идея

    состоит в том, чтобы: 1. Похукать момент получения ответа сервера 2. Обработать его своим кодом 3. Добавить результат вычислений в тот же самый ответ в специальном формате и отправить "дальше» 4. Дальше грепнуть это значение по регулярке штатными средствами Burp Intruder Чтобы реализовать этот трюк, нужно написать расширение для Burp Suite. Расширения для Burp пишутся на Java, Ruby или Python. Мы напишем на Python.

  15. У Burp Suite есть маленький App Store,
 а также возможность

    писать свои расширения Напишем и мы свое!

  16. Ставим Jython http://www.jython.org/ Учти, что нужно пользоваться не системным PIP-ом,

    а jython'овским, который лежит в директории бинарника jython (см. предыдущий скрин):

  17. Пишем
 расширение Суть: 20-36 строка

  18. Тестим, что приходит в body То, что нужно! В конце

    уже дописывается строка с доступными номерами для этого региона. Оно пригодно для GREP!

  19. Добавялем новый GREP из body… По предпросмотру регулярок уже видно

    что работает! …И

  20. Успех! И это мы отпроцессили тольо 1(!) штат в 1(!)

    стране. В USA 52 штата. В каждом по 10-50 local areas. Скайп предоставляет ~25 стран.

  21. Спасибо за внимание! f1nnix, @IlyaRusanen, f1nn.com, 2600, 2k16