{"id":2341,"date":"2022-02-22T21:50:32","date_gmt":"2022-02-22T20:50:32","guid":{"rendered":"https:\/\/ekiwi.de\/?p=2341"},"modified":"2022-02-22T21:50:32","modified_gmt":"2022-02-22T20:50:32","slug":"tutorial-phisher-aergern-mit-der-burp-suite","status":"publish","type":"post","link":"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/","title":{"rendered":"Tutorial: Phisher \u00e4rgern mit der Burp-Suite"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Inhalt<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/#DBK_Phishing\" >DBK Phishing<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/#Burp_Suite_installieren\" >Burp Suite installieren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/#Browser_konfigurieren\" >Browser konfigurieren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/#Request_abfangen\" >Request abfangen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/#Brute_Force_mit_Burp_Suite\" >Brute Force mit Burp Suite<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/ekiwi.de\/index.php\/2341\/tutorial-phisher-aergern-mit-der-burp-suite\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<p>Eine kleine praktische Einf\u00fchrung in die Burp Suite Community Edition, wir \u00e4rgern Phisher mit Brute Force.<\/p>\n<p><!--more--><\/p>\n<p>Heute kam eine Phishing Mail herein, wie so oft trifft es mal wieder eine Bank, in diesem Fall die DKB. Daher nehmen wir diese zum Anlass, mal die Security-Software Burp Suite in der kostenlosen Community Edition zu testen. Die Software erlaubt es verschiedene Sicherheits\u00fcberpr\u00fcfungen durchzuf\u00fchren, z.B. Brute Force Attacken.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DBK_Phishing\"><\/span>DBK Phishing<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Aber beginnen wir mit der Phishing Mail, ein Klassiker, unser Konto muss mal wieder aktiviert werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_1.png\" alt=\"\" width=\"518\" height=\"339\" class=\"alignnone size-full wp-image-2342\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_1.png 518w, \/wp-content\/uploads\/2022\/02\/burp_1-300x196.png 300w, \/wp-content\/uploads\/2022\/02\/burp_1-120x80.png 120w\" sizes=\"auto, (max-width: 518px) 100vw, 518px\" \/><\/p>\n<p>Die Seite ist recht gut gemacht und entspricht der Login-Seite der Bank. Bereits beim Betrachten der URL sollten wir jedoch skeptisch werden. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_2.jpg\" alt=\"\" width=\"752\" height=\"572\" class=\"alignnone size-full wp-image-2343\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_2.jpg 752w, \/wp-content\/uploads\/2022\/02\/burp_2-300x228.jpg 300w\" sizes=\"auto, (max-width: 752px) 100vw, 752px\" \/><\/p>\n<p>Im Webinspektor des Browsers sehen wir, dass das Formular auf die Datei &#8222;index.php&#8220; geht und zwei Formularfelder enth\u00e4lt. Eine f\u00fcr den Anmeldenamen und einen f\u00fcr das Passwort.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_3.png\" alt=\"\" width=\"632\" height=\"227\" class=\"alignnone size-full wp-image-2344\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_3.png 632w, \/wp-content\/uploads\/2022\/02\/burp_3-300x108.png 300w\" sizes=\"auto, (max-width: 632px) 100vw, 632px\" \/><\/p>\n<p>Die Felder werden wir im sp\u00e4teren Verlauf wieder finden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Burp_Suite_installieren\"><\/span>Burp Suite installieren<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Sofern noch nicht geschehen, laden wir uns die <a href=\"https:\/\/portswigger.net\/burp\/communitydownload\" target=\"_blank\" rel=\"noopener\">Burp Suite herunter<\/a>. Die Software ist in der Community Edition kostenlos. Die Software gibt es f\u00fcr alle Betriebssysteme, Linux, Windows, macOS.<\/p>\n<p>Im Beispiel verwende ich die Linux-Edition, aber die Vorgehensweise bleibt gleich.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_4.png\" alt=\"\" width=\"923\" height=\"544\" class=\"alignnone size-full wp-image-2345\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_4.png 923w, \/wp-content\/uploads\/2022\/02\/burp_4-300x177.png 300w, \/wp-content\/uploads\/2022\/02\/burp_4-768x453.png 768w\" sizes=\"auto, (max-width: 923px) 100vw, 923px\" \/><\/p>\n<p>Wir installieren die Software und starten diese anschlie\u00dfend.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Browser_konfigurieren\"><\/span>Browser konfigurieren<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In Burp erstellen wir ein &#8222;Tempor\u00e4res Projekt&#8220; mit Vorgabeeinstellungen. Viel andere M\u00f6glichkeiten bietet die kostenlose Variante ohnehin nicht.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_5.png\" alt=\"\" width=\"364\" height=\"182\" class=\"alignnone size-full wp-image-2346\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_5.png 364w, \/wp-content\/uploads\/2022\/02\/burp_5-300x150.png 300w\" sizes=\"auto, (max-width: 364px) 100vw, 364px\" \/><\/p>\n<p>Anschlie\u00dfend m\u00fcssen wir nun noch unseren Browser konfigurieren, sodass dieser uns erlaubt, mit der Burp Suite zusammenzuarbeiten. Die Burp Suite arbeitet hier als Man-in-the-middle. Damit dies auch f\u00fcr verschl\u00fcsselte Verbindungen funktioniert, m\u00fcssen wir das Zertifikat der Burp Suite in unseren Browser importieren.<\/p>\n<p>Hierzu rufen wir die Seite &#8222;localhost:8080&#8220; auf. Auf der Seite k\u00f6nnen wir das &#8222;CA Certificate&#8220; herunterladen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_6.png\" alt=\"\" width=\"998\" height=\"443\" class=\"alignnone size-full wp-image-2347\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_6.png 998w, \/wp-content\/uploads\/2022\/02\/burp_6-300x133.png 300w, \/wp-content\/uploads\/2022\/02\/burp_6-768x341.png 768w, \/wp-content\/uploads\/2022\/02\/burp_6-900x400.png 900w\" sizes=\"auto, (max-width: 998px) 100vw, 998px\" \/><\/p>\n<p>Dies machen wir, anschlie\u00dfend m\u00fcssen wir dieses in den Browsereinstellungen importieren. Wir machen dies im Beispiel mit Firefox. Hier finden wir in den Einstellungen die \u00dcbersicht der Zertifikate.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_7.png\" alt=\"\" width=\"672\" height=\"147\" class=\"alignnone size-full wp-image-2348\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_7.png 672w, \/wp-content\/uploads\/2022\/02\/burp_7-300x66.png 300w\" sizes=\"auto, (max-width: 672px) 100vw, 672px\" \/><\/p>\n<p>Hier k\u00f6nnen wir nun das Zertifikat importieren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_8.jpg\" alt=\"\" width=\"1136\" height=\"664\" class=\"alignnone size-full wp-image-2349\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_8.jpg 1136w, \/wp-content\/uploads\/2022\/02\/burp_8-300x175.jpg 300w, \/wp-content\/uploads\/2022\/02\/burp_8-1024x599.jpg 1024w, \/wp-content\/uploads\/2022\/02\/burp_8-768x449.jpg 768w\" sizes=\"auto, (max-width: 1136px) 100vw, 1136px\" \/><\/p>\n<p>Anschlie\u00dfend m\u00fcssen wir die Burp Suite noch als Proxy eintragen. Dies erlaubt es, die Webanfragen \u00fcber die Burp Suite zur Analyse zu leiten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_9.png\" alt=\"\" width=\"698\" height=\"176\" class=\"alignnone size-full wp-image-2350\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_9.png 698w, \/wp-content\/uploads\/2022\/02\/burp_9-300x76.png 300w\" sizes=\"auto, (max-width: 698px) 100vw, 698px\" \/><\/p>\n<p>Als Proxy f\u00fcr http und https verwenden wir den &#8222;localhost&#8220; mit Port &#8222;8080&#8220;.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_10.png\" alt=\"\" width=\"867\" height=\"368\" class=\"alignnone size-full wp-image-2351\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_10.png 867w, \/wp-content\/uploads\/2022\/02\/burp_10-300x127.png 300w, \/wp-content\/uploads\/2022\/02\/burp_10-768x326.png 768w\" sizes=\"auto, (max-width: 867px) 100vw, 867px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Request_abfangen\"><\/span>Request abfangen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nun sind wir einsatzbereit. Wir wollen die Formularabfrage abfangen und diese sp\u00e4ter als Brute-Force auf die Phisher-Seite leiten. In Burp klicken wir auf &#8222;Proxy&#8220; und aktivieren den Intercept. Anschlie\u00dfend f\u00fcllen wir das Formular im Browser auf. Nat\u00fcrlich sollten wir hier nicht aus Versehen unsere Bankdaten eingeben.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_11.png\" alt=\"\" width=\"924\" height=\"811\" class=\"alignnone size-full wp-image-2352\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_11.png 924w, \/wp-content\/uploads\/2022\/02\/burp_11-300x263.png 300w, \/wp-content\/uploads\/2022\/02\/burp_11-768x674.png 768w\" sizes=\"auto, (max-width: 924px) 100vw, 924px\" \/><\/p>\n<p>Das Formular wird nicht abgeschickt, sondern landet in der Burp Suite. Hier sehen wir den Request, welchen der Browser an den Server landet. Neben jeder Menge Header-Daten sehen wir auch unsere Formulardaten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_12.png\" alt=\"\" width=\"717\" height=\"499\" class=\"alignnone size-full wp-image-2353\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_12.png 717w, \/wp-content\/uploads\/2022\/02\/burp_12-300x209.png 300w\" sizes=\"auto, (max-width: 717px) 100vw, 717px\" \/><\/p>\n<p>Wir sehen hier einen leeren Wert f\u00fcr Captcha und Submit, sowie Benutzername und Passwort.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Brute_Force_mit_Burp_Suite\"><\/span>Brute Force mit Burp Suite<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Den &#8222;Intercept&#8220; k\u00f6nnen wir nun an den Intruder schicken.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_13.png\" alt=\"\" width=\"416\" height=\"211\" class=\"alignnone size-full wp-image-2354\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_13.png 416w, \/wp-content\/uploads\/2022\/02\/burp_13-300x152.png 300w\" sizes=\"auto, (max-width: 416px) 100vw, 416px\" \/><\/p>\n<p>Der Intruder erlaubt, den eigentlichen Angriff vorzunehmen. Hier k\u00f6nnen wir den Angriff konfigurieren, z.B. als Cluster bomb.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_14.png\" alt=\"\" width=\"883\" height=\"505\" class=\"alignnone size-full wp-image-2355\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_14.png 883w, \/wp-content\/uploads\/2022\/02\/burp_14-300x172.png 300w, \/wp-content\/uploads\/2022\/02\/burp_14-768x439.png 768w\" sizes=\"auto, (max-width: 883px) 100vw, 883px\" \/><\/p>\n<p>Zuerst k\u00f6nnen wir mir &#8222;Clear&#8220; die automatisch erkannten Felder entfernen und manuell mit &#8222;Add&#8220; diese wieder hinzuf\u00fcgen. In unserem Beispiel sind dies die Werte f\u00fcr &#8222;username&#8220; und &#8222;password&#8220;. Diese k\u00f6nnen wir anschlie\u00dfend unter Payloads konfigurieren.<\/p>\n<p>Hier k\u00f6nnen wir die Art des Angriffs festlegen, z.B. &#8222;Brute Forcer&#8220;. Der &#8222;Brute Forcer&#8220; erlaubt es zuf\u00e4llige Zeichenketten zu generieren, welche dann jeweils an den Server geschickt werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_15.png\" alt=\"\" width=\"1232\" height=\"426\" class=\"alignnone size-full wp-image-2356\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_15.png 1232w, \/wp-content\/uploads\/2022\/02\/burp_15-300x104.png 300w, \/wp-content\/uploads\/2022\/02\/burp_15-1024x354.png 1024w, \/wp-content\/uploads\/2022\/02\/burp_15-768x266.png 768w\" sizes=\"auto, (max-width: 1232px) 100vw, 1232px\" \/><\/p>\n<p>Haben wir alle gew\u00e4hlten Positionen ausgew\u00e4hlt, kann der Angriff beginnen. In der Community Edition ist nur eine langsame Abarbeitung m\u00f6glich. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_16.png\" alt=\"\" width=\"355\" height=\"228\" class=\"alignnone size-full wp-image-2357\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_16.png 355w, \/wp-content\/uploads\/2022\/02\/burp_16-300x193.png 300w\" sizes=\"auto, (max-width: 355px) 100vw, 355px\" \/><\/p>\n<p>Burp beginnt nun automatisch das Formular abzusenden mit den zuf\u00e4llig generierten Daten. Im besten Fall spammen wir den Phishern also nun die Datenbank mit sinnlosen Eintr\u00e4gen zu und erschweren ihnen damit etwas ihren Plan. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2022\/02\/burp_17.png\" alt=\"\" width=\"745\" height=\"700\" class=\"alignnone size-full wp-image-2358\" srcset=\"\/wp-content\/uploads\/2022\/02\/burp_17.png 745w, \/wp-content\/uploads\/2022\/02\/burp_17-300x282.png 300w\" sizes=\"auto, (max-width: 745px) 100vw, 745px\" \/><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nat\u00fcrlich wissen wir nicht, wie die Spammer im Hintergrund ihr Script entwickelt haben. M\u00f6glicherweise werden Eintr\u00e4ge von der gleichen IP-Adresse gefiltert, so dass wir keinen Schaden anrichten. In vielen F\u00e4llen d\u00fcrfte es auch einfach m\u00f6glich sein die sinnlosen Eintr\u00e4ge zu filtern. Somit bleibt es in erster Linie ein interessantes Experiment.<\/p>","protected":false},"excerpt":{"rendered":"<p>Eine kleine praktische Einf\u00fchrung in die Burp Suite Community Edition, wir \u00e4rgern Phisher mit Brute Force.<\/p>\n","protected":false},"author":1,"featured_media":2359,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[591],"tags":[144,132],"class_list":["post-2341","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","tag-security","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/2341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/comments?post=2341"}],"version-history":[{"count":0,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/2341\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media\/2359"}],"wp:attachment":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media?parent=2341"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/categories?post=2341"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/tags?post=2341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}