2015 06 Burpsuite IV Configuracion de

11/16/2017 www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.
html
Snifer@L4b's: BurpSuite
IV - Conguracin de
Certicado digital,
ProxyTOR?, guardando y
recuperando
Snifer L4bs
Continuamos con la semana BurpSuite en

Snifer@L4b's, conociendo la herramienta y
realizando las conguraciones necesarias para que
en prximas entradas realizamos diferentes tipos de
pruebas.
Lo que veremos en esta entrada:
Conguracin de Certicado Digital

Proxy+ BurpSuite
Save and Restore
http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 1/16
11/16/2017 www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html
Conguracin de Certicado Digital
Hasta ahora estuvimos viendo las bondades de

BurpSuite trabajando bajo un sitio web que se
encontrabanicamentebajo el protocolo http y no
bajoHTTPS, por lo consiguiente ahora realizaremos
la prueba con GMAIL, as que una vez realizamos una
peticin a GMAIL
Usted se dar cuenta de que mi peticin de Google ha

sido capturado por BurpSuite. Si usted no ve esto
usted quiere asegurarse de que la "intercepcin es
On" aparece como un crculo naranja. Si se establece
en "Intercepcin est apagado" su trco es
probable que va a travs Burp pero no ests viendo
cada solicitud.
En el futuro, puede hacer clic en el botn "Adelante"

y mirar a cada solicitud y la respuesta, ya que viene a
travs. Usted ver una pantalla en blanco si no hay
ms solicitudes o respuestas para aprobar.

En este ejemplo hare uso de Gmail, esta mas que

claro que navego por HTTPS ;) no vaya a toparme
con algn sni er donde ande, una vez activo
BurpSuite con la conguracin pertinente, llegamos
a tener el siguiente resultado primero en el
Navegador y segundo en BurpSuite
Para solucionar este pequeo problema que nos

interponemos debemos de exportar el certicado de
BurpSuite al navegador, para ello es necesario
obtener primero el certicado.
En este punto tenemos dos maneras de tener el

certicado digital para ser agregado al navegador,
una es desde la herramienta y la segunda por medio
del servicio WEB que tenemos habilitado por lo tanto
veremos ambos.
OBTENCIN DE CERTIFICADO DESDE LA

HERRAMIENTA

Nos dirigimos a la pestaa Proxy, y de ah a la sub-

pestaa Options donde previamente aprendimos a
congurar el Proxy, en la parte inferior tenemos CA
CERTIFICATE.
Presionamos en el botn mencionado con

anterioridad, tendremos una ventana semejante a la
siguiente en ella seleccionamos la primera opcin.
Por lo tanto procedemos a guardar el certicado en

el directorio que sea mas conveniente.

Y al nal tendremos el certicado generado

satisfactoriamente.
OBTENCIN DE CERTIFICADO DESDE EL SERVICIO

WEB
Esta segunda manera de obtener el certicado es por

medio del servicio web que tendremos en el equipo
como ven la url es localhost:8060 | 8060 es el puerto
congurado para el proxy. Una vez que accedemos
tendremos el siguiente resultado en el navegador.

Una vez que accedemos presionamos en el

hiperenlace CA CERTIFICATE el cual nos devolver
un certicado a descargar.
IMPORTANDO EL CERTIFICADO EN EL NAVEGADOR
El ultimo paso para tener congurado el certicado

digital en el navegador en este ejemplo lo realizar
para Firefox propiamente ICEWEASEL, nos dirigimos

a preferencias - Avanzado, Ver Certicados y luego

importar.
Luego seleccionamos el certicado.
Y nos dar la siguiente ventana, marcamos los

chechbox y aceptamos.

Es necesario por simple hecho de visualizar y estar

seguro que se encuentro en el manejador de
Certicados y buscamos PortSwigget que es el
certicado que importamos.
Una vez realizado ello vemos algunos detalles del

certicado solo por revisar hee. ;).

Una vez realizado el proceso, toca vericar

ingresando los credenciales y tendremos la
intercepcin de manera correcta como se observa a
continuacin.

Aclarar que esta conguracin del certicado digital

nos permite realizar una auditoria, a un sitio que
cuente con HTTPS.
Proxy+ BurpSuite
En la entrada de ayer preguntarn como congurar o

si es posible usar Burpsuite detras de un proxy para
lograr tener una capa de proteccin o evitar ser
baneados.
Primero veremos la conguracin bsica para TOR ya

que lo tengamos debidamente instalado, procedemos
a congurar la conexin del navegador dirigiendonos
a Preferencias - Avanzado y Conguracin Manual.
Ahora nos vamos Options y a connections donde

agregamos en Upstream Proxy Server add y
aadimos el host destino el localhost y en proxy host
el puerto por defecto de Privoxy.
Debajo de ello conguramos el Socks Proxy

ingresando la direccin IP de localhost y el puerto
que tenemos congurado en el BurpSuite
Esta es una manera de congurar, la siguiente es

para hacer uso de un proxy ip:puerto para ello
podemos usar un servidor de proxys o uno que
contemos en este ejemplo usare HIDE MY ASS!
Despus de seleccionar el Proxy, lo conguramos en

Upstream Proxy como se ve en la siguiente captura.

Con esto ya tenemos congurado el Proxy en

Burpsuite.
Save and Restore
Esta es una bondad que tiene BurpSuite la que no

deberia de faltar en la herramienta y es necesario
conocerla, ya que muchas veces al realizar un
proceso de pentesting tenemos algun problema
tcnico o debemos detener alguna prueba.
Para ello nos dirigimos a Burpsuite, en la parte

superior izquierda en Burp tenemos Search | Save
State y Restore State lo que nos interesa es Save
State y Restore State.

Al presionar el Save State tendremos la siguiente

pantalla donde debemos de congurar donde
guardaremos el chero resultante de este escaneo.
Que datos guardaremos como la conguracin

seleccionamos lo que deseamos.

Y en un par de minutos segn la prueba realizada

tendremos la siguiente ventana.
Ahora para recuperar un proyecto previamente

guardado, seleccionamos Restore State y tendremos
la siguiente ventana, aqu cabe aclarar que nos
permite la herramienta unir con el escaneo anterior
realizado, como veremos en la siguiente captura.

Despues de realizar ello tenemos el Restore

Completed.
Veran que esta entrada, conocimos como congurar

el certicado digital, uso de Proxys y por ultimo
guardar y recuperar un proyecto de BurpSuite,
espero disfruten de estas entradas y no se olviden
que espero recibir sus dudas mejoras preguntas de
esta y el resto de las entradas.
No se olviden leer las entradas pasadas para

comprender esta:
BurpSuite - La pequea navaja Alemana

BurpSuite I - Primeros Pasos
BurpSuite II - Intercepted, Tampering request!
conociendo al proxy
Burpsuite III - Sitemap, Crawling, Vulnerability
Scanning
Regards,
Snifer

2015 06 Burpsuite IV Configuracion de

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2015 06 Burpsuite IV Configuracion de

Enviado por

Direitos autorais:

Formatos disponíveis

11/16/2017 www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.

Continuamos con la semana BurpSuite en

Lo que veremos en esta entrada:

Conguracin de Certicado Digital

Conguracin de Certicado Digital

Hasta ahora estuvimos viendo las bondades de

Usted se dar cuenta de que mi peticin de Google ha

En el futuro, puede hacer clic en el botn "Adelante"

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 2/16

En este ejemplo hare uso de Gmail, esta mas que

Para solucionar este pequeo problema que nos

En este punto tenemos dos maneras de tener el

OBTENCIN DE CERTIFICADO DESDE LA

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 3/16

Nos dirigimos a la pestaa Proxy, y de ah a la sub-

Presionamos en el botn mencionado con

Por lo tanto procedemos a guardar el certicado en

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 4/16

Y al nal tendremos el certicado generado

OBTENCIN DE CERTIFICADO DESDE EL SERVICIO

Esta segunda manera de obtener el certicado es por

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 5/16

Una vez que accedemos presionamos en el

IMPORTANDO EL CERTIFICADO EN EL NAVEGADOR

El ultimo paso para tener congurado el certicado

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 6/16

a preferencias - Avanzado, Ver Certicados y luego

Luego seleccionamos el certicado.

Y nos dar la siguiente ventana, marcamos los

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 7/16

Es necesario por simple hecho de visualizar y estar

Una vez realizado ello vemos algunos detalles del

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 8/16

Una vez realizado el proceso, toca vericar

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 9/16

Aclarar que esta conguracin del certicado digital

En la entrada de ayer preguntarn como congurar o

Primero veremos la conguracin bsica para TOR ya

Ahora nos vamos Options y a connections donde

Debajo de ello conguramos el Socks Proxy

que tenemos congurado en el BurpSuite

Esta es una manera de congurar, la siguiente es

Despus de seleccionar el Proxy, lo conguramos en

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 11/16

Con esto ya tenemos congurado el Proxy en

Save and Restore

Esta es una bondad que tiene BurpSuite la que no

Para ello nos dirigimos a Burpsuite, en la parte

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 12/16

Al presionar el Save State tendremos la siguiente

Que datos guardaremos como la conguracin

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 13/16

Y en un par de minutos segn la prueba realizada

Ahora para recuperar un proyecto previamente

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 14/16

Despues de realizar ello tenemos el Restore

Veran que esta entrada, conocimos como congurar

No se olviden leer las entradas pasadas para

BurpSuite - La pequea navaja Alemana

http://www.sniferl4bs.com/2015/06/burpsuite-iv-con guracion-de.html 16/16

Você também pode gostar