Modificar-peticiones-http-fuerza-bruta-a-panel-login-depaginas-web-parte-1

Hoy vamos a hablar de una herramienta muy interesante. Es un proxy que nos permite cambiar los campos de las peticiones que hagamos a cualquier pagina web desde el navegador. Un proxy es un software o dispositivo que intercepta las conexiones de red entre nuestro ordenador y el exterior, de esta manera poder modificar lo que enva el propio navegador. Una de los mejores usos que tiene la herramienta es la de automatizar estas peticiones para realizar ataques de fuerza bruta en paneles de login, que veremos en la segunda parte de esta entrada. En este primer post vamos a hablar sobre como instalar y aprender a modificar nuestra primera peticion. En este caso utilizaremos una versin de la herramienta crackeada (que no os sirva de ejemplo!). La herramienta solo funciona con la version 6 de java que podreis descargaros aqu (http://www.java.com/es/download/manual_v6.jsp) e instalarla junto a la version 6. Para instalarla habr que poner una primera clave la primera vez que pide y darle a siguiente. A continuacion pulsar opciones avanzadas y poner la segunda clave en la segunda casilla. Para lo que vamos a ver en este post y el siguiente vale con la version reducida que puedes bajarte del sitio oficial.

Para que las peticiones de nuestro navegador pasen primero por el proxy y que este pueda modificarlas habr que instalar la siguiente la siguiente extensin de chrome: Proxy Switchy! (https://chrome.google.com/webstore/detail/proxy-switchy/caehdcpeofiiigpdhbabniblemipncjj). Una vez instalada aparecer una bolita a la derecha del campo de texto donde introduces la url en el navegador. Pulsa con el boton derecho y accede a la configuracin. Tendrs que configurarlo como aparece en la imagen.

Para que las peticiones del navegador pasen por nuestro proxy (BurpSuite) debers pulsar con el boton izquierda sobre la bola y seleccionar el Proxy Burp que es el que acabamos de configurar. Despues inicia la herramienta BurpSuite y vete a la pestaa que pone proxy. Pulsa sobre el boton Intercept On/Off y dejalo con el estado Intercept On para que intercepte todas las peticiones que pasen por este. De esta manera hasta que no pulses el botn Forward la peticin no saldr del proxy a internet, es decir, tienes la peticin capturada en el proxy a la espera de que la dejes marchar con el boton Forward.

Hay dos pestaas ms que son headers y params. La primera headers es donde puedes ver todos los datos de la cabecera de la peticin. En la segunda pestaa params es donde puedes ver todos los capmos del contenido de la peticin, aqui es donde suele ir el usuario y la contrasea. Puedes modificar cualquier campo y ser lo que realemente llegue al servidor, la peticin que has hecho pero modificada! Para hacer la prueba como he comentado vale con la versin reducida disponible en la pagina web oficial (http://portswigger.net/burp/). Si alguien quiere probar ms funcionalidades de la herramienta que me la pida, ya que est crackeada y no quedara bien subirla a nuestro servidor para descargarsela desde ahi.