آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن

ابزار Burp Suite

در این قسمت از آموزش قصد داریم ابزار قدرتمند Burp suite را معرفی کنیم با ما همراه باشید.

Burp Suite چیست ؟

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
ابزار Burp Suite

ابزار برپ سوییت که یک ابزار بسیار قدرتمند در زمینه تست نفوذ ، هک و امنیت وب اپلیکیشن ها است امکانات بسیار فراوانی و فوق العاده ای را برای شما فراهم می کند که بدون شک می توان گفت یکی از بهترین ابزار ها در حوزه تست نفوذ و امنیت وب سایت ها است که هر متخصص امنیتی لازم است کار با این ابزار را به خوبی یاد بگیرد تا بتواند تست های نفوذ خود را به صورت حرفه ای پیاده سازی کند .

شما ابزار برپ را می توانید از سایت زیر دانلود کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
دانلود برپ سوییت

https://portswigger.net/burp

حال اگر به لینکی که در بالا برای شما قرار داده ایم بروید خواهید دید که سه نسخه مختلف از این ابزار برای شما لیست شده است که می توانید دانلود کنید؛ اما نکته ای که قابل توجه است این است که تنها نسخه ای که به صوت رایگان ارایه شده است نسخه Community است که بسیار محدود است و قابلیت های اصلی این ابزار را در اختیار ما قرار نخواهد داد .

در ادامه نحوه کرک این ابزار را خدمت شما شرح می دهیم.

نحوه نصب و کرک نسخه کامل ابزار Burp Suite

در ابتدای کار لازم است بگوییم برای نصب این ابزار باید دو نسخه از جاوا بر روی سیستم ما نصب باشد

که این دو نسخه شامل نسخه های زیر است  :

Java SE Runtime نسخه 8

Java SE Development Kit نسخه 8

این دو نسخه را می توانید از لینک زیر به راحتی دانلود کنید :

https://www.java.com/en/download/

پس از نصب این دو نسخه از جاوا می بایست ابزار اصلی یعنی Burp Suite را دانلود کنید.

نکته : پیشنهاد می شود از لینک هایی که در آموزش برای شما قرار داده ایم استفاده کنید .

نکته دیگری که بسیار حائز اهمیت است این است که از ابزار burp suite دو نسخه وجود دارد :

  • نسخه اول : Burp Suite Professional 2020.2
  • نسخه دوم : Burp Suite Professional 2.1.07

پیشنهاد می شود از نسخه دوم استفاده کنید و نسخه دوم را دانلود کنید.

مراحل نصب ابزار Burp Suite

پس از دانلود , فایل را از حالت فشرده خارج کنید که دو فایل با پسوند jar  برای شما به نمایش در خواهد امد که باید این دو فایل را در کنار هم در یک پوشه قرار دهید و فایل keygen.jar را اجرا کنید که پنجره ای برای شما باز خواهد شد که باید بر روی گزینه run کلیک کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله اول از نصب ابزار Burp Suite

سپس پنجره ای برای شما باز خواهد شد که باید بر روی گزینه Accept کلیک کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله دوم نصب

در پنجره ای که مربوط به keygen است قسمتی وجود دارد با عنوان license که کدی در ان وجود دارد که باید ان را کپی کنید و نیز و در پنجره ای که برای شما باز خواهد شد paste کنید و در نهایت بر روی گزینه next کلیک کنید.

به تصویر زیر دقت کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله سوم نصب برپ سوییت

در این مرحله پنجره ای برای شما باز خواهد شد که باید بر روی Manual activation کلیک کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرجله چهارم از نصب برنامه برپ سوییت

سپس در پنجره باز شده باید بر روی دکمه copy request کلیک کنید
و در فیلد Activation Request که در پنجره keygen است paste کنید.

به تصویر زیر توجه کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرجله پنجم نصب

سپس زمانی که این کار را انجام دهید بلافاصله کدی در فیلد پایینی برای شما تولید می شود که باید ان را کپی کنید و در قسمتی که در تصویر برای شما مشخص کرده ایم paste کنید و بر روی گزینه Next کلیک کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرجله شیش از نصب و کرک برپ سوییت

مراحل بعد از نصب

سپس پنجره ای باز می شود که باید بر روی finish کلیک کنید تا مرحله کرک به پایان برسد.

حال نیز یک پنجره دیگری برای شما باز خواهد شد که باید بر روی گزینه  Next کلیک کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله هفتم از نصب ابزار Burp Suite

سپس بر روی start burp کلیک کنید :

  مانیتورینگ نتایج حملات DDOS و DOS
آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
اجرای Burp Suite پس از نصب

حال خواهید دید که ابزار قدرتمند Burp suite بدون هیچ محدودیتی برای شما اجرا خواهد شد :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
محیط Burp Suite کرک شده

پیشنهاد می کنیم برای اشنایی با افزونه های این ابزار اموزش افزونه های burpsuite را در پن تست کور مشاهده کنید. ، همچنین این ابزار از قدرتمند ترین ابزار های کالی لینوکس است که برای اشنایی با این سیستم عامل می توانید اموزش کالی لینوکس را مشاهده کنید.

پروکسی کردن Burp بر روی firefox

یکی از امکانات فوق العاده ابزار burp امکان proxy  کردن است که شما می توانید تمام اطلاعاتی که به سرور های مختلف ارسال می شود و اطلاعاتی که از سرور های مختلف به مرورگر شما میرسد را مشاهده کنید و حتی انهارا تغیر دهید که این یک امکان بسیار جذاب و فوق العاده است که باعث می شود متخصصان تست نفوذ به صورت حرفه ای مراحل تست نفوذ خود را پیاده سازی کنند.

برای پروکسی کردن این ابزار ابتدا نیز به منوی فایرفاکس بروید و بر روی گزینه options  کلیک کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله اول از پروکسی کردن Burp

سپس به بخش General بروید و در انتهای لیست در قسمت Network Settings
بر روی گزینه Settings کلیک کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله دوم از پروکسی کردن ابزار Burp Suite

در پنجره باز شده گزینه Manual proxt configuration را فعال کنید.

سپس در قسمت HTTP Proxy ای پی 127.0.0.1 را وارد کنید و پورت 8080 را تنظیم کنید.

در قدم بعدی گزینه Also use this proxy for FTP and HTTPS را فعال کنید
و در نهایت بر روی گزینه OK کلیک کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله سوم از پروکسی کردن Burp Suite

سپس به قسمت proxy در ابزار Burp بروید و در بخش Intercept  گزینه Intercept is on را فعال کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
فعال کزدن بخش پروکسی Burp Suite

نکته :

اگر این گزینه برابر با intercept Is off باشد به این معنی است که اطلاعات را پروکسی نمی کند اما اگر برابر با intercept is on باشد به این معنی است که اطلاعات را پروکسی می کند. حال اگر در مرورگر فایرفاکس خود به یک سایت درخواست دهید نیز خواهید دید که اطلاعات و پکت ها برای شما ضبط خواهند شد و شما می توانید پکت ها را با دقت بررسی کنید و نتیجه دلخواه خود برسید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
استفاده از ابزار Burp Suite

نکته : دقت داشته باشید که پکت ها قبل از اینکه برای سرور سایتی که به ان درخواست داده اید ارسال شود نیز در ابتدا در این ابزار برای شما به نمایش در خواهند امد و شما می توانید اطلاعات پکت را نیز از این قسمت تغیر دهید و با کلیک بر روی گزینه Forward پکت را به سرور هدف ارسال کنید.

حل مشکل ابزار Burp Suite در هنگام استفاده از مرورگر

اما نکته ای که قابل توجه است این است که در این حالت شما دیگر نمی توانید به وب گردی خود بپردازید، زیرا زمان زیادی را از شما می گیرد و شما باید به صورت مداوم بر روی گزینه forward کلیک کنید. برای جلوگیری از چنین کاری شما باید تنظیماتی که بر روی فایرفاکس خود وارد کرده اید را به حالت پیش فرض در بیاورید.

اما چنین کاری ممکن است زمان بر باشد برای افرادی که قصد دارند به صورت مداوم از این ابزار استفاده کنند به این منظور افزونه ای معرفی شده است که می توانید از این افزونه استفاده کنید در ادامه ان را برای شما شرح خواهیم داد .

نکته : قبل از اینکه افزونه foxy proxy را نصب کنید حتما در ابتدا تنظیمات مرورگر خود را به حالت اول برگردانید و اطلاعاتی که وارد کرده اید را حذف کنید .

افزونه foxy proxy

افزونه foxy proxy در ابزار Burp Suite این قابلیت را در اختیار شما قرار خواهد داد تا بتوانید تنها با یک کلیک ساده تنظمات پروکسی مرورگر خود را تغیر دهید. در ابتدا این افزونه را از مخزن اصلی  firefox دانلود کنید و بر روی مرورگر خود نصب کنید.

سپس بر روی این افزونه که در مرورگر شما اضافه شده است کلیک کنید و بر روی گزینه options  بزنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله اول از نحوه نصب و استفاده از افزونه foxy proxy

در پنجره باز شده بر روی گزینه Add کلیک کنید :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله دوم از نحوه استفاده از foxy proxy در Burp Suite

سپس با محیط زیر مواجه خواهید شد :

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله سوم از نحوه استفاده از افزونه Burp Suite

نحوه تنظیم افزونه foxy proxy

  1. در قسمت title می توانید یک نام برای پروکسی خود انتخاب کنید.
  2. در قسمت Proxy Type باید پروتکل مورد نظر خود را انتخاب کنید که باید بر روی HTTP قرار دهید.
  3. نیز در بخش Proxy ip address or DNS name باید ای پی 127.0.0.1 را وارد کنید.
  4. در قسمت port باید پورت 8080 را وارد کنید و در نهایت بر روی گزینه save  کلیک کنید.
  5. حال نیز اگر بر روی افزونه foxy proxy در مرورگر خود کلیک کنید با محیط زیر مواجه خواهید شد.
آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
استفاده از foxy proxy

حال نیز اگر بر روی گزینه Burp یا نامی که برای پروکسی خود انتخاب کرده اید کلیک کنید ، مرورگر شما به صورت اتوماتیک بر روی پروکسی برپ سوییت قرار می گیرد و می توانید اطلاعات را پروکسی کنید و اگر بر روی Turn off کلیک کنید می توانید تنظمات مرورگر خود را به حالت اولیه بازگردانید و به وب گردی خود بپردازید .

  مک ادرس سیستم خود را دستی تغییر دهید

حل یک چالش با استفاده از Burp

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
چالش برپ سوییت

ابزار Burp قابلیت های بسیار زیاد و فوق العاده جالبی دارد که در این قسمت قصد داریم شما را با یکی از این قابلیت ها آشنا کنیم. یکی از سایت هایی که سرویسی برای تمرین تست نفوذ برای کاربران خود آماده کرده است وب سایت juice-shop.herokuapp است که با استفاده از لینک زیر می توانید از ان استفاده کنید و تست های نفوذ خود را به عنوان تمرین بر روی این سایت پیاده سازی کنید :

http://juice-shop.herokuapp.com/

حال نیز اگر عبارت ftp را در انتهای این ادرس قرار دهید
خواهید دید که این سایت دارای باگ directory traversal است
که فایل های ان برای شما ایندکس می شود.

http://juice-shop.herokuapp.com/ftp

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله اول از نحوه تست نفوذ با ابزار Burp Suite

حال در این صفحه فایل های مختلفی وجود دارد که یکی از این فایل ها فایل بکاپ است که با پسوند .md.bak در صفحه وجود دارد و اگر بر روی ان کلیک کنید تا ان را دانلود کنید خواهید دید که ارور 403 خواهد داد و می گوید که شما می توانید فقط به فایل هایی که پسوند .md و .pdf دارند دسترسی داشته باشید و دانلود کنید.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله دوم از نحوه تست نفوذ با ابزار Burp Suite

استفاده از ابزار Burp Suite برای دانلود بکاپ

حال نیز اگر ابزار burp را راه اندازی کنید و مجدد اقدام به دانلود فایل بکاپ کنید
خواهید دید اطلاعاتی برای شما در ابزار burp پروکسی می شود.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله سوم از نحوه تست نفوذ با ابزار Burp Suite

همانگونه که می دانید در فیلد اول نام و پسوند فایل مشخص شده است.

حال ما با استفاده از متد null injection می توانیم این محدودیت را دور بزنیم.

به این صورت که در انتهای پسوند فایل عبارت زیر را قرار خواهیم داد که این عبارت به معنای null است

%2500

سپس در ادامه دستور عبارت .pdf را می نویسیم و بر روی گزینه forward کلیک می کنیم.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله چهارم از نحوه تست نفوذ با Burp Suite

حال نیز زمانی که پکت برای سرور ارسال شد خواهید دید که فایل بکاپ برای شما دانلود خواهد شد.

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
مرحله پنجم از نحوه تست نفوذ با ابزار برپ سوییت

نتیجه گیری

آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن
برپ سوییت

در این قسمت از آموزش شما را با ابزار Burp suite آشنا کرده ایم که یک ابزار فوق العاده جالب و قوی است که برای تست نفوذ وب اپلیکیشن ها و اپلیکیشن های اندرویدی استفاده می شود ، در ابتدا پیش نیاز های این ابزار را معرفی کرده ایم و سپس نحوه نصب و کرک نسخه اصلی و کامل ابزار را شرح داده ایم و در مرحله بعدی افزونه foxy proxy را برای این ابزار معرفی کرده ایم که این افزونه کار شما را برای انجام تنظیمات مرورگر بسیار ساده و راحت می کند و سپس در نهایت یک مثال بسیار ساده در حوزه تست نفوذ وب با استفاده از ابزار burp زده ایم تا شما با نحوه عملکرد این ابزار آشنا شوید .

موفق باشید.

5/5 (1 نظر)

مطالب مرتبط

داده کاوی

Data Mining (داده کاوی) چیست؟

در این اموزش با دیتا ماینینگ یا داده کاوی به صورت کامل اشنا خواهید شد با ما در ادامه این اموزش همراه باشید. 0/5 (0 نظر)   مانیتورینگ نتایج حملات DDOS و DOS

۱۰ دیدگاه در “آشنایی با ابزار Burp Suite (برپ سوییت) و نحوه کار با آن”

  • Vampyer فروردین ۱۰, ۱۳۹۹ پاسخ

    با سلام و وقت بخیر
    burpsuite ابزار گسترده ای هست و نمیشه داخل یک پست تمامش رو توضیح داد.
    یک سوال داشتم اونم اینه که داخل ویندوز کرک burpsuite راحته ولی داخل کالی لینوکس گزینه run فعال نمیشه تا burp-loader اجرا بشه!!!
    ممنون میشم راهنمایی کنید.
    با تشکر از سایت خوبتون
    موفق باشید.

    • نیما حسینی فروردین ۱۵, ۱۳۹۹ پاسخ

      درود بر شما
      داخل کالی لینوکس هم نحوه کرک تقریبا مشابه است.
      بخشی که داخل لینوکس RUN ندارد نیازی نیست ، کافیست شما مجدد فایل burp suite pro را با استفاده از جاوا اجرا کنید.
      پایدار باشید.

  • 50A50Z30S فروردین ۱۰, ۱۳۹۹ پاسخ

    بسیار عالی

    • نیما حسینی فروردین ۱۴, ۱۳۹۹ پاسخ

      درود
      از دیدگاه شما سپاس گذاریم.

  • ARMIN فروردین ۱۸, ۱۳۹۹ پاسخ

    سلام وقت بخیر امکانش هست از کروم استفاده کرد بجای فایرفاکس

    • نیما حسینی فروردین ۱۹, ۱۳۹۹ پاسخ

      درود بر شما
      بله امکانش هست تنظیمات ان ها هم تقریبا مشابه است.

  • ARMIN فروردین ۲۰, ۱۳۹۹ پاسخ

    سلام وقت بخیر اگه امکانش هست آموزش نصب در کروم هم بدید.

    • نیما حسینی فروردین ۲۲, ۱۳۹۹ پاسخ

      درود
      کافیست به تنظیمات کروم رفته و Open your computer’s proxy settings را جستجو کنید، از این بخش طبق اموزش پروکسی را ست کنید.

  • death horsman تیر ۱۴, ۱۳۹۹ پاسخ

    ببخشید میشه شیوه هایه ارسال کد هایه مخرب رو در بورپ بگین

    • نیما حسینی تیر ۲۵, ۱۳۹۹ پاسخ

      درود
      حتما در اموزش های بعدی بیشتر با این ابزار اشنا خواهید شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *