Burp Suite - Auditando tráfico en un Smartphone (Parte 2)

Una vez tenemos configurados Smartphone y Burp Suite vamos a empezar a realizar la práctica.

Dejamos abierto Burp Suite en su pestaña "Proxy"/"Opciones"
Dentro de la pestaña "Proxy" dejamos opciones y pulsamos la primera pestaña "Intercept".

 

 Aquí iremos viendo las peticiones de paquetes de datos que hace nuestro terminal de telefono o tablet y aparte de analizarlos podremos darles paso con el botón "Forward" a que lleguen y se carguen en nuestro Smartphone o cortar la comunicación simplemente con el botón "Drop".

Toda web o aplicación bien protegida no nos mostrará la comunicación al detectar un proxy intermedio no seguro, o si nos ofrece algo será algo no relevante o debidamente encriptado.

Debido a esto y con el sentido de poder mostrar algo visible, he elegido una web, también disponible en app, española llamada "Comuniame" que podemos definir como una especie de juego a tiempo real (simulador) de la liga española, que no está bien protegido y que nos dará mucho juego para el ejemplo, ya que permite transacciones de dinero no real, fichajes de jugadores, etc., y por tanto tiene mucho transito de datos.

Con Burp Suite abierto en mi ordenador, abro dicha web o aplicación el mi Iphone.

Si nos fijamos en Burp Suite, ya estará interceptando tráfico.
Habrá momentos en que la web/aplicación no termina de cargar en el Smartphone. Si nos fijamos en Burp Suite, el botón "Forward" estará iluminado en naranja, cada vez que lo pulsemos estaremós dejando pasar ese paquete de datos y así vamos viendo y estudiando las diferentes peticiones y dejando que cargen en el movil, si no pulsamos hasta que "Forward" deje de iluminarse en repetidas ocasiones, no dejaremos de pasar todos los datos y por tanto no terminarán de cargarse nunca en Smartphone, llegando en muchos casos a dar un error por retardo de información.

Como vemos, lo primero que nos encontramos en la App, es un identificador en el que iniciar sesión.
Yo ya he creado una cuenta con anterioridad con la intención de realizar la prueba, así que pulso que "Ya tengo cuenta" y paso a identificarme.

Introduzco usuario y contraseña.
Si en Burp Suite hemos ido pulsando "Forward" y no tenemos ningun paquete de datos pendiente, al pulsar "Iniciar Sesión" en la App mandará un paquete con la identificación de usuario que pasará por nuestro proxy.

Está información sería la petición, y como podemos ver entre todos los datos enviados, ahí tenemos en la última línea, email y password.
Si esto fuese captado por una tercera persona, podría acceder a nuestra cuenta, ya que posee nuestras credenciales.
Como podemos ver, si pulsamos "Forward" los datos siguen su curso y la app validará el acceso.

Igual que podemos visualizar los datos, también podemos modificarlos a nuestras anchas.
Dentro de la App, en los pequeños simbolos que vemos en la parte superior hay uno que son dos flechitas. Teoricamente si lo pulso y accedo, en ese apartado puedo realizar fichajes de jugadores.
Veo que me salen varios, voy a elegir uno al azar y voy a darle a comprar por el precio que indica.

Según vemos su valor ficticio es "2.350.000". Damos a aceptar.

Vamos a ver que nos ofrece Burp Suite.
 Yo voy a buscar si en algún lugar de toda esta información encuentro algún valor que indique justamente "2350000" o algo así.
Si nos fijamos en la última línea de datos ahí lo tenemos. "amount" : 2350000

Pues bien, voy a intentar modificar este valor. Lo selecciono y voy a cambiarlo por lo que sea.


Ahora para ver que efecto causa en la app si es que causa alguno, pulso "Forward".

Y cual es la sorpresa cuando en la App nos devuelve esto:

Hemos sido capaces de cambiar nuestra puja inicial a través de Burp Suite.
Podemos ver el peligro que esto acarrearía de tratarse de otra app con datos reales, si estuviese igual de protegida que esta y alguien interceptara nuestros datos.

Vemos que podemos cambiar datos, al igual que interceptar información no encriptada.
Salimos de la sesión de la App.
Volvemos a intentar iniar sesión.

Metemos unos valores al azar y son los que nos muestra Burp Suite.


Si pulsamos "Forward" la app nos denegará el acceso, ya que las credenciales son falsas y no validas.
Pero si no pulsamos "Forward", solo tendremos que cambiar los valores de la última línea (email y password) por los capturados con anterioridad y ahora si pulsamos el resultado cambiará por completo.

Hemos conseguido acceder.

Para finalizar, vamos a ver un breve ejemplo con una App que a pesar de ser bastante más segura que la anterior y no ofrecer información a priori, como es "Waze" la App de navegación...

En el único paquete que es capaz de captar nuestro Burp Suite, que sería el primero, un paquete de información de aplicación sin ninguna importancia ni relevancia para nuestra integridad (a priori) comete un fallo escapandosele un dato.




Como podemos ver en la línea resaltada, "locatión", se indica una numeración.
Esa numeración, son cordenadas.... la de nuestra ubicación actual.

Si copiamos esta númeración según está y la colocamos en google:




Burp Suite - Auditando tráfico en un Smartphone (Parte 1)

Burp Suite - Auditando tráfico en un Smartphone (Parte 1)

Vamos a ver como testear en tráfico que genera un Smartphone ya sea a través de un navegador o una aplicación, a través de la herremienta Burp Suite. Esto con el objetivo de concienciarnos de la seguridad y de como dependiendo de la manera en que nos conectemos a la red y de la seguridad que tenga la Web en que navegamos o la App podemos correr ciertos peligros, como que nuestro tráfico sea capturado, modificado o inyectado.

La mayoría de las páginas web y aplicaciones tienen una serie de servicios que para comunicar con internet van generando una serie de paquetes de datos que van enviando y recibiendo y así se va generando un flujo de datos en la red. A través de estos envios de datos pues tendremos cargas de información, imagenes, etc., tendremos posibilidad de logearnos e identificarnos si ya estamos dados de alta en un servicio, o si no pues de registrarnos, etc.
Pues bien, toda esta información va viajando por la red y si la web o app en cuestión esta debidamente securizada, estos datos no serán ni visibles ni accesibles, por el contrario si no estan debidamente aseguradas estos datos viajaran visibles para quien tenga acceso a ellos.

Vamos a ver entonces como se verían estas peticiones y transito de datos a través de la red. Para ello vamos a utilizar Burp Suite, una herramienta o mejor dicho plataforma de herramientas integradas para la realización de pruebas de seguridad, busqueda, análisis y explotación de vulnerabilidades.

Yo la utilizaré como herramienta integrada dentro de Kali Linux, pero su web oficial desde la cual puede realizarse la descarga:
https://portswigger.net/burp/

Como Smartphone utilizaré un terminal Iphone 6, aunque realmente la práctica es similar para cualquier modelo o tablet.





Para realizar la configuración antes de nada, abrimos Burp suite.

Podemos ver que está estructurado en diversas pestañas, cada cual destinada a una función o actividad. En esta práctica vamos a utilizar básicamente la que nos señala "Proxy".
Abrimos la pestaña "Proxy" y vemos que justo en la línea inferior a las pestañas que ya teniamos se nos abren nuevas opciones.

 En este caso como nos muestra la siguiente imagen pulsamos opciones y la pantalla se nos llenará de información.
Lo primero que podemos ver nos indica: "Proxy Listeners". Ahí pulsamos el botón "Add" para añadir los puertos que queremos escuchar y se nos abrirá una nueva ventana.

La rellenamos como vemos en la imagen, solo introduciendo en esa primera pestaña de nombre "Binding" el puerto que queremos escuchar, que en este caso será el "8080" y le marcamos que a parte de puerto, como dirección tomamos todas las interfaces posibles "All interfaces".

Para los que aún no lo hayan entendido, el cometido de Burp Suite al utilizarlo como proxy, será el de interponerse de alguna manera entre el terminal y la red. De esta forma todas las peticiones que realicemos en este caso a través del Smartphone, por ejemplo hacer una busqueda en nuestro navegador, pasarán primero por Burp Suite.

Una vez que ya tenemos nuestras opciones rellenadas, damos "OK".
Y seleccionamos la opción que acabamos de crear poniendo un "tick" en el cuadrito de selección.

Ahora, de momento dejamos nuestro "Burp Suite" ahí como esta y cojo mi telefono.

Abro "Ajustes" o "Configuración" dependiendo del terminal.
Busco el apartado correspondiente a la configuración "Wifi" (en algunos "Redes", "Internet", etc.)
En mi caso voy a elegir mi red Wifi de casa dentro de las encontradas por mi terminal.

La selecciono y me meto en la Configuración de mi red Wifi.


Va a haber unos parametros configurados ya, pero tiene que haber un apartado que indique Proxy. Este vamos a configurarlo manualmente.
Tendremos que indicarle que utilice el puerto 8080, en la dirección IP del equipo en el que estamos utilizando Burp Suite.
En mi caso 192.168.1.39

Para saber la IP, dentro de tu equipo puedes meterte en configuración de red y averiguarla, o en el terminal de Linux mediante un "Ifconfig".









 

 Una vez introducidos estos valores en nuestro Smartphone he indicandole que se conecte a la red mediante este Wifi configurado para que navegue a través del proxy, podemos empezar a realizar las primeras pruebas.


Burp Suite - Auditando tráfico en un Smartphone (Parte 2)