Blog

Modificar peticiones http + Fuerza bruta al panel de login de paginas web (Parte 1 de 2)

Hoy vamos a hablar de una herramienta muy interesante. Es un proxy que nos permite cambiar los campos de las peticiones que hagamos a cualquier pagina web desde el navegador. Un proxy es un software o dispositivo que intercepta las conexiones de red entre nuestro ordenador y el exterior, de esta manera poder modificar lo que envía el propio navegador. Una de los mejores usos que tiene la herramienta es la de automatizar estas peticiones para realizar ataques de fuerza bruta en paneles de login, que veremos en la segunda parte de esta entrada.

En este primer post vamos a hablar sobre como instalar y aprender a modificar nuestra primera peticion. En este caso utilizaremos una versión de la herramienta crackeada (que no os sirva de ejemplo!). La herramienta solo funciona con la version 6 de java que podreis descargaros aquí (http://www.java.com/es/download/manual_v6.jsp) e instalarla junto a la version 6. Para instalarla habrá que poner una primera clave la primera vez que pide y darle a siguiente. A continuacion pulsar opciones avanzadas y poner la segunda clave en la segunda casilla. Para lo que vamos a ver en este post y el siguiente vale con la version reducida que puedes bajarte del sitio oficial.

burp1

Para que las peticiones de nuestro navegador pasen primero por el proxy y que este pueda modificarlas habrá que instalar la siguiente la siguiente extensión de chrome: Proxy Switchy! (https://chrome.google.com/webstore/detail/proxy-switchy/caehdcpeofiiigpdhbabniblemipncjj). Una vez instalada aparecerá una bolita a la derecha del campo de texto donde introduces la url en el navegador. Pulsa con el boton derecho y accede a la configuración. Tendrás que configurarlo como aparece en la imagen.

burp3

Para que las peticiones del navegador pasen por nuestro proxy (BurpSuite) deberás pulsar con el boton izquierda sobre la bola y seleccionar el Proxy Burp que es el que acabamos de configurar. Despues inicia la herramienta BurpSuite y vete a la pestaña que pone proxy. Pulsa sobre el boton Intercept On/Off y dejalo con el estado “Intercept On” para que intercepte todas las peticiones que pasen por este. De esta manera hasta que no pulses el botón Forward la petición no saldrá del proxy a internet, es decir, tienes la petición capturada en el proxy a la espera de que la dejes marchar con el boton “Forward”.

burp4

Hay dos pestañas más que son headers y params. La primera “headers” es donde puedes ver todos los datos de la cabecera de la petición. En la segunda pestaña “params” es donde puedes ver todos los capmos del contenido de la petición, aqui es donde suele ir el usuario y la contraseña.

Puedes modificar cualquier campo y será lo que realemente llegue al servidor, la petición que has hecho pero modificada!

Para hacer la prueba como he comentado vale con la versión reducida disponible en la paǵina web oficial (http://portswigger.net/burp/). Si alguien quiere probar más funcionalidades de la herramienta que me la pida, ya que está crackeada y no quedaría bien subirla a nuestro servidor para descargarsela desde ahi.

roberto@highsec.es

  1. jairo
    jairo05-05-2014

    SERIA TAN AMABLE DE DE REGALARME LA VERSIÓN CRAKEADA DEL PROGRAMA AMIGO ESPERO LA RESPUESTA GRACIAS

  2. jairo
    jairo05-05-2014

    MI COREO : jairogeacolettylazo@yahoo.es

Leave a Reply

*

    No Twitter Messages