MISP
Mise à jour de Burp
Nous allons commencer par mettre à jour le logiciel Burp.
- Cliquer sur l’icône kali en haut à gauche.
- Chercher “burp” et cliquer sur “burpsuite”.
- Cliquer sur “next”.
- Cliquer sur “Start burp”.
- Cliquer sur “OK”.
- Cliquer sur “Help”.
- Cliquer sur “Update now”.
- Cliquer sur “Go straight to downloads”.
- Choisir votre version, cliquer sur download puis sur “OK”.
Un fichier a bien été téléchargé.
Le fichier téléchargé est un script shell.
Il est téléchargé.
- Se rendre dans le dossier de téléchargements :
Il faut l’exécuter en root.
- Pour cela, donner les droits d’exécution au script avec
chmod +x script.sh.
- Exécuter le script.
- Cliquer sur “Next”.
- Cliquer sur “Next”.
- Cliquer sur “Next”.
- Cliquer sur “Finish”.
Lorsque nous revenons sur Burp, nous pouvons voir que le logiciel est désormais à jour.
- Pour finir, taper
apt-get purge burpsuitepour supprimer l’ancienne version Burp de la machine.
Burp injection SQL
- Se rendre sur le site MISP.
- Cliquer sur “Intercept is off” pour activer l’interception.
- Entrer des identifiants quelconques avec un format valide.
- Nous pouvons voir la requête envoyée.
- Cliquer sur “Forward” pour envoyé la requête à MISP, car celle-ci ne contient pas les identifiants saisis précédemment.
Cette nouvelle requête interceptée est la bonne !
- Cliquer sur “Action” puis sur “Send to Intruder”.
Pour les étapes de balisage et de chargement des payloads, s’en référer à la partie identique pour le pfSense
Nous voyons ici les champs de la requête à changer pour l’injection SQL.
Nous voyons ici le message de la réponse “témoin” de MISP lors d’une tentative de connexion qui échoue.
- Chercher ce message dans la réponse.
Lorsque nous filtrons les réponses, nous voyons qu’une seule réponse contient cette chaîne de caractères.
- Nous inspectons donc les paquets suivants à la recherche d’un autre message d’erreur que l’on trouve (1).
- Cela ne correspondant pas à un message de connexion, ajouter ce message aux filtres des réponses.
- Cliquer sur “Clear” puis ajouter votre nouvelle chaîne de caractères.
- MISP n’est donc pas vulnérable aux injections SQL testées.
Zed Attack Proxy injection SQL
- Aller sur le site de MISP et faire une requête de connexion.
- Choisir le site à attaquer.
- Choisir la requête de connexion.
- Lancer le fuzzer.
- Choisir les champs à remplacer et cliquer sur “Add…”.
- Cliquer sur “Export”.
- Génerer le rapport.
Zed Attack Proxy brute force
- Sélectionner le premier champ à remplacer, username, et cliquer sur “Add…”.
- Cliquer sur “Add”.
- Choisir le fichier et cliquer sur “Add”.
- Cliquer sur “OK”.
- Choisir le champ de mot de passe à remplacer et cliquer sur “Add”.
- Cliquer sur “Add…”.
- Choisir le fichier.
- Cliquer sur “OK”.
- Cliquer sur “Start Fuzzer”.
- Cliquer sur “Export”.
- Sauvegarder le fichier .csv.
Zed Attack Proxy OWASP top10
- Commencer par ouvrir le site que nous voulons tester dans ZAP, ici MISP.
- Se connecter.
Nous voyons que ZAP ajoute un overlay avec des boutons.
- Cliquer sur le bouton “Start” avec l’araignée noire qui lance un programme qui parcourt récursivement le site.
- Cliquer sur le bouton “Start”.
- Attendre la fin du chargement.
- Cliquer sur “Start” avec l’araignée rouge qui lance un programme fondé sur AJAX spider qui permet d’aller plus en profondeur.
Nous utilisons en général les deux araignées pour de meilleurs résultats.
- Cliquer sur “Start”.
Nous voyons les requêtes envoyées par ZAP.
- Cliquer sur “Start” avec la goûte pour lancer le scan actif.
Les scans actifs ne sont pas conseillés sur du matériel opérationnel, en effet, envoyer des paquets malveillants peut détruire le routeur. C’est pour cette raison que nous avons pris la précaution de faire des snapshots avant de lancer le scan actif.
- Cliquer sur “Start”.
Nous obtenons le rapport suivant.
Nous voyons qu’une seule alerte est trouvée sur de l’injection SQL.
