Ir al contenido principal

BurpSuite: Sniper

Sniper

Intruder nos permitirá hacer un ataque de diccionario. En este caso usaremos Sniper el cual solo podremos usar un solo payload, por lo que solo tendremos una sola posicion / parametro (contraseña o usuario).

Simulemos en el caso de que ya tengamos un usuario (admin) pero queremos atacar a la contraseña, en ese caso entramos al login del sitio a atacar enviamos una solicitud POST el cual pongamos el usuario admin una contraseña cualquiera, todo esto con el BurpSuite con el intecept en on, una vez interceptado la solicitud damos click derecho en la solicitud que enviamos con los parametros de usuario y contraseña a Intruder, seleccionamos Sniper en el tipo de ataque. 

Borramos los campos pre-definidos por BurpSuite, seleccionamos la posicion de la contraseña y le damos en "Add" nos vamos a Payloads y agregamos un diccionario o palabras a gusto.

Intruder en Burpsuite


Así BurpSuite intentará con cada contraseña con nuestro usuario admin.

Etiquetas:

Comentarios

  1. Anónimo14 de enero de 2023 a las 2:59

    Increíble información, Gracias!

    ResponderEliminar
  2. Anónimo14 de enero de 2023 a las 3:00

    ¿Hay algún diccionario el cual tenga contraseñas por defecto?

    ResponderEliminar
    Respuestas
    1. eldamiWTF18 de enero de 2023 a las 13:23

      Si, si usas kali linux por defecto biene uno de los más grandes diccionarios, está en la ruta /usr/share/wordlists/ dentro del directorio por defecto estará en un comprimido, rockyou.txt.gzip.
      Puedes descomprimirlo y usarlo como diccionario, te recomiendo que si lo vas a incluir en BurpSuite tengas una PC de buenos recursos ya que cargar este diccionario puede petar un poco la PC. Hay mas diccionarios buenos en la web.

      Eliminar
  3. Anónimo14 de enero de 2023 a las 3:23

    Hola, se puede en Windows 10?

    ResponderEliminar
    Respuestas
    1. eldamiWTF18 de enero de 2023 a las 13:44

      Si, para eso tenes que descargar BurpSuite para Windows desde el sitio oficial
      Seleccionas Windows en la lista desplegable de sistemas operativos, la instalación es simple.

      Eliminar
  4. Anónimo16 de enero de 2023 a las 2:29

    Gracias!!!! Me estoy introduciendo en este mundillo y tus publicaciones me ayudan sigue así que eres bueno en esto se ve!!!

    ResponderEliminar
  5. Anónimo16 de enero de 2023 a las 2:31

    como ago para puvlicar omentarios de mi kuenta de gogle

    ResponderEliminar
    Respuestas
    1. eldamiWTF18 de enero de 2023 a las 13:42

      En "Comentar como" seleccionas "Cuenta de Google" si te aparece un error visita este post en el que te explico como solucionarlo

      Eliminar

Publicar un comentario

Entradas populares de este blog

BurpSuite: Battering Ram

Battering Ram En el post anterior mostré como usar Sniper, en este post mostraré como usar Battering ram. Con Sniper usabamos un payload para un solo parametro / posición , con Battering ram usaremos un payload para dos posiciones / parametros. Interceptamos nuestra petición y la enviamos al Intruder: Seleccionamos Battering ram en el tipo de ataque (en la captura de pantalla me olvide seleccionarlo por lo que aparecera "sniper" en la captura) y seleccionamos las dos posiciones en este caso " admin " y " 12345 " que es la contraseña: Luego de eso vamos a Payloads y cargamos un diccionario, en mi caso seleccioné fasttrack que esta en la ruta /usr/share/wordlists/fasttrack.txt , damos comienzo a nuestro ataque dando click en " Start attack ": En la imagen anterior vemos que el nombre de usuario y contraseña coinciden con uno de nuestros argumentos en la lista de nuestro diccionario, esto es lo que hace Battering ram, pone como argumento en las pos...
4 comentarios
Leer más

BurpSuite: Repeater

 Repeater Repeater es una herramienta en Burp Suite que permite enviar peticiones HTTP de forma individual y modificar su contenido antes de volver a enviarlas. Esto es útil para realizar pruebas de penetración y para depurar problemas de seguridad en aplicaciones web. Para utilizar Repeater, primero debes configurar Burp Suite para interceptar las peticiones HTTP desde tu navegador. Luego, cuando se intercepta una petición, puedes hacer clic en el botón "Send to Repeater" para enviarla a la herramienta: Una vez en Repeater, veremos dividida la pantalla en dos, del lado izquierdo se muestra la petición interceptada y del lado derecho la respuesta que nos mostrara al enviar la petición modificada: Puedes modificar la petición en cualquier aspecto, como los encabezados o el cuerpo, en este caso lo haremos para enviar las credenciales al sitio en el encabezado.  Luego, puedes hacer clic en el botón "Send" para enviar la petición modificada. Puedes continuar haciendo ca...
Publicar un comentario
Leer más

BurpSuite: Cluster Bomb

Cluster Bomb La herramienta Cluster Bomb permite generar un gran número de peticiones HTTP en paralelo, con el objetivo de ataque de fuerza bruta y detectar posibles problemas de rendimiento como en los casos anteriores. Es decir, que con Cluster Bomb utilizará dos posiciones en las cuales veremos como funcionan más adelante. Para utilizar la herramienta Cluster Bomb, primero debe interceptar la petición HTTP. Luego, debes seleccionar la petición que deseas enviar en masa en el "Proxy" o "Repeater" de Burp Suite: Una vez seleccionada la petición, debes hacer clic en el botón "Send to Intruder" en la barra desplazada. Una vez enviada la petición, debes hacer clic en el botón "Intruder" en la barra de herramientas: Una vez estando en "Positions" hacemos click en Tipo de Ataque, seleccionamos "Cluster Bomb" y agregamos las posiciones en las que queremos cargar nuestros payloads. Clic en Payloads y cargaremos en la lista 1 nuestro...
Publicar un comentario
Leer más