Burp suite導入・操作、Badstoreセットアップ

1. Burp Suiteハンズオン
2017/05/27
Burp Suite Japan User Group
1

2. 2017/5/29
目次
2
事前準備
仮想マシン実行環境のセットアップ
実習環境（BadStore）のセットアップ
実習環境の起動・動作確認
Burp Suiteの説明
Burp Suiteの操作

3. 2017/5/29 3
事前準備

4. 2017/5/29
必要ファイルの入手
4
仮想マシン実行環境
Downloads – Oracle VM VirtualBox
https://www.virtualbox.org/wiki/Downloads
へアクセスし、
 VirtualBox platform packages
 VirtualBox 5.1.2 Oracle VM VirtualBox Extension Pack
から自PCの環境にあったファイルをDLします。
実習環境（BadStore）
https://cryptopone.com/downloads/BadStore_212.iso
から直接BadStoreのISOイメージをDLします。
※Webセキュリティ担当者のための脆弱性診断スタートガイド
上野宣が教える情報漏えいを防ぐ技術（上野宣） ｜ 翔泳社の本
http://www.shoeisha.co.jp/book/detail/9784798145624
の「ダウンロード」からも入手可能

5. 2017/5/29 5
仮想マシン実行環境
のセットアップ

6. 2017/5/29
作業概要
6
本章では、
仮想マシン実行環境のインストール方法
を記載しています

7. 2017/5/29
VirtualBoxセットアップ（1/12）
7
DLしたVirtualBox-x.x.x-xxxxxx-Win.exe
を実行し、[Next >]をクリックして行きます。
※xxx部分はバージョン番号が入ります
1
2

8. 2017/5/29
VirtualBoxセットアップ（2/12）
8
D警告画面（下記、右図）が表示された場合、
[Yes]をクリックします。
ハンズオン後に環境を
アンインストールする場合、
全てのチェックを外す
3
4

9. 2017/5/29
VirtualBoxセットアップ（３/12）
9
[Install]ボタンが表示されたら、
クリックしてインストールを開始します。
5

10. 2017/5/29
VirtualBoxセットアップ（4/12）
10
インストール中に下記UAC警告画面が表示
された場合、[はい(Y)]をクリックします。
6

11. 2017/5/29
VirtualBoxセットアップ（5/12）
11
デバイスソフトウェアのインストールの
確認画面が表示された場合、☑を外してから
[インストール(I)]をクリックします。
チェックを外しますチェックを外しますチェックを外します
7
8
9

12. 2017/5/29
VirtualBoxセットアップ（6/12）
12
インストールが完了したら、
☑が入った状態で[Finish]をクリックします。
10

13. 2017/5/29
VirtualBoxセットアップ（7/12）
13
下記の画面が表示されれば、インストールは正
常に完了しています。

14. 2017/5/29
VirtualBoxセットアップ（8/12）
14
次に[ファイル(F)]メニューから、
[環境設定(P)...]を選択し、クリックします。

15. 2017/5/29
VirtualBoxセットアップ（9/12）
15
環境設定画面が表示されたら、[機能拡張]を選
択し、右側のボタンをクリックします。
このボタンをクリック

16. 2017/5/29
VirtualBoxセットアップ（10/12）
16
機能拡張パッケージ選択画面が表示されたら、
DLしたOracle_(略)_Extension_Pack(略)を開
きます。

17. 2017/5/29
VirtualBoxセットアップ（11/12）
17
「質問」画面や「ライセンス」画面、
UAC警告画面が表示された場合、それぞれ
下記の□で囲んだボタンをクリックします。
※ライセンスは最後までスクロールする必要があります

18. 2017/5/29
VirtualBoxセットアップ（12/12）
18
下記のように画面が遷移し、
機能拡張パッケージのインストールが
完了すれば、セットアップは完了です。

19. 2017/5/29 19
実習環境（BadStore）
のセットアップ

20. 2017/5/29
作業概要
20
VirtualBox上に実習環境（BadStore）
の仮想マシンを作成します。

21. 2017/5/29
仮想マシン作成（1/4）
21
[新規(N)]をクリックし、
仮想マシン作成画面を表示させます。
このボタンをクリック

22. 2017/5/29
仮想マシン作成（2/4）
22
仮想マシン作成画面で名前（例:BadStore）を
入力し、バージョン「Linux2.4(32-bit)」を選
択し、[次へ(N)]を2回クリックします。
1 2
初期値のままで大丈夫

23. 2017/5/29
仮想マシン作成（3/4）
23
ハードディスクの選択画面では、
「仮想ハードディスクを追加しない(D)」
を選択して、[作成]をクリックします。
3
警告画面が出たら、
[続ける]をクリックします

24. 2017/5/29
仮想マシン作成（4/4）
24
仮想マシン（下図ではBadStore）が
作成されていれば完成です。

25. 2017/5/29
仮想マシン起動準備（1/5）
25
作成した仮想マシンが選択された状態で、[設
定(S)]をクリックして設定画面を開き、
設定から[ストレージ]を選択します。
1
2

26. 2017/5/29
仮想マシン起動準備（2/5）
26
設定画面右側の属性欄にある光学ドライブのア
イコンをクリックし、
DLしたISOイメージを選択して開きます。
3
4
5

27. 2017/5/29
仮想マシン起動準備（3/5）
27
属性欄にある[Live CD/DVD]に☑を入れます。
6

28. 2017/5/29
仮想マシン起動準備（4/5）
28
設定から[ネットワーク]を選択し、
[アダプター 1]の[割り当て(A):]を
「ブリッジアダプター」に変更します。
適切なネットワークアダプターが設定されてい
ることを確認し、[OK]をクリックします。
7
8
10
利用しているネットワークアダ
プターに適宜変更します
9

29. 2017/5/29
仮想マシン起動準備（5 /5）
29
[ストレージ]と[ネットワーク]の設定が
適切に反映されていることが確認できたら、起
動準備完了です。

30. 2017/5/29 30
実習環境の
起動・動作確認

31. 2017/5/29
作業概要
31
準備が完了した仮想マシンを起動し、
仮想マシンの設定を確認します。
PC側の設定変更を行い、
ブラウザを起動して、
仮想マシンの動作確認を行います。

32. 2017/5/29
仮想マシンの起動・確認（1/5）
32
BadStoreが選択された状態で[起動(T)]を
クリックして、仮想マシンを起動します。

33. 2017/5/29
仮想マシンの起動・確認（2/5）
33
下記、仮想マシンの起動画面が表示されたら、
画面上をクリックし[Enter]キーを押します。

34. 2017/5/29
仮想マシンの起動・確認（3/5）
34
「bash#」とコンソールが表示されたら、
[ifconfig]コマンドを入力し、実行します。

35. 2017/5/29
仮想マシンの起動・確認（4/5）
35
「bash#」とコンソールが表示されたら、
[ifconfig]コマンドを入力し、実行します。
「etho0」という項目にある「inet addr:」に
続くIPアドレスを確認します。

36. 2017/5/29
仮想マシンの起動・確認（5/5）
36
[netstat -nl]コマンドを実行し、
「0.0.0.0:80」「0.0.0.0.:443」
がLISTEN状態であることを確認します。

37. 2017/5/29
自PCの設定変更と動作確認（1/3）
37
仮想マシンではなく自PC上でエクスプローラを開
いて、下記の場所を開きます。
 Windows環境の場合
C:WindowsSystem32driversetc
 LinuxやMacOS環境の場合
/etc

38. 2017/5/29
自PCの設定変更と動作確認（2/3）
38
開いた場所にある「hosts」ファイルを
メモ帳などで開いて、下記の行を追加します。
IPアドレス www.badstore.net
メモ帳アプリは【管理者として実行】
で実行する必要があります

39. 2017/5/29
自PCの設定変更と動作確認（3/3）
39
ブラウザを起動し、アドレス欄に
「www.badstore.net」と入力して実行し、
下記の画面が開けば動作確認は完了です。

40. 2017/5/29 40
Burp Suiteの説明

41. PortSwigger社製のJavaで作成された
ローカルプロキシ
Free EditionとProfessional Editionの2
種類存在し、Free Editionは一部機能が
制限されている
2017/5/29
Burp Suiteについて
41
Professional Editionの
トライアルも受け付け
ています。

42. Burp Suite Japan User Groupで初心
者向けのドキュメントとしてStartupマ
ニュアルを公開しています。
2017/5/29
Startupマニュアル
42
https://github.com/bu
rpsuitejapan/startup

43. Burp Suiteには、複数の機能が実装さ
れています。
◎プロキシ
◎スコープ
◎Intruder
◎Repeater
など
2017/5/29
Burp Suiteの機能
43

44. リクエストを改変するために、Burp
Suiteでリクエストをインターセプトし
ます。
2017/5/29
プロキシに関して
44
Burp Suite
ブラウザ
HTTP Request
サーバー
リクエストを
インターセプト
HTTP Request
インターセプトされている
間は送信されない。

45. インターセプトされたリクエストやレス
ポンスを改変し、診断を行います。
2017/5/29
プロキシに関して
45
内容を変更し、診断
を行う。

46. レスポンスもリクエスト同様にイン
ターセプトすることが可能です。レス
ポンスのJavaScriptなどを書き換える
ことができる。
2017/5/29
プロキシに関して
46
Burp Suite
ブラウザ
HTTP Request
サーバー
レスポンスを
インターセプト
HTTP Request
HTTP Response HTTP Response

47. スコープは誤った環境に対してリクエス
トを送信しないようにするために使われ
ます。
2017/5/29
スコープに関して
47
ブラウザ
Burp Suite
example.com
example.net
スコープ設定
example.comのみ許可

48. 診断対象に本番環境とテスト環境が混在
しており、テスト環境のみにアクセスす
る場合などに有効な機能です。
2017/5/29
スコープに関して
48
ブラウザ
Burp Suite
example.com
本番 テスト

49. 環境にもパスを指定することで特定のパ
スしかアクセスできないようにすること
も可能。
2017/5/29
スコープに関して
49
ブラウザ
Burp Suite
example.com
スコープ設定
example.comのみ許可
/sample/のみ許可
/sample/
/test/

50. 事前に取得したリクエストなどを基に設
定した診断パターンをセットし、自動的
に送信する。
2017/5/29
Intruderに関して
50
Burp Suite
ブラウザ
サーバー
HTTP Request
HTTPログ
診断パターン
診断パターンを
付加して送信
HTTP Response
HTTP Request
HTTP Response
事前に
取得

51. Intruderは決められたパターンを自動的
に送信してくれるため、手動によるミス
の軽減や作業効率の向上などのメリット
があります。
2017/5/29
Intruderに関して
51
Burp Suite
ブラウザ
サーバー
HTTP Request
HTTP Response
HTTP Request
HTTP Response
ミスの軽減
作業の効率化

52. Professional Editionだと診断するため
の機能であるScannerも利用可能です。
IntruderとScannerの違いは以下です。
2017/5/29
Intruderに関して
52
Intruder Scanner
診断パターン 利用者が用意す
る必要がある。
用意する必要は
ない。
結果の評価 利用者が判断す
る必要がある。
自動的に判定さ
れる。
Intruderは利用者が細かく設定する必要が
あるが、その分、カスタマイズが可能。

53. 利用者が設定した診断パターンを自動的に送
信してくれるため、手動で実施するより効率
がよい。
2017/5/29
Intruderに関して
53
診断パターンの選定や結果の判定に一定の知識を求められるた
め、以下のドキュメントや書籍などを参考にする必要がある。
• ウェブ健康診断 仕様
https://www.ipa.go.jp/files/000017319.pdf
• 脆弱性診断スタートガイド
http://www.shoeisha.co.jp/book/detail/9784798145624
だが

54. SQLインジェクションやXSSなどの脆弱性が
存在するか確認するための補助機能がいくつ
かある。
2017/5/29
Intruderに関して
54
レスポンスに特定の文字
列が出力されていると
チェックされる。
レスポンスボディサイズ
が出力される。

55. 事前に取得したHTTPログなどを手動で
変更し複数回送信することが可能。診断
時に一番使用頻度の高い機能です。
2017/5/29
Repeaterに関して
55
Burp Suite
サーバー
HTTP Request
HTTPログ 診断時に、1つのリクエス
トに対して様々な検証をす
る場合などに効果的
HTTP Response
手動で内容を変更し送信
HTTP Request
HTTP Response
事前に
取得

56. 左側のリクエストを編集し、Goボタン
をクリックすると右側にレスポンスが表
示されるため、診断結果をすぐに確認で
きる。
2017/5/29
Repeaterに関して
56
リクエスト レスポンス

57. それぞれの用途があり、Intruderで怪しい箇
所を洗い出して、Repeaterで確認するなど
使い分けて活用できます。
2017/5/29
RepeaterとIntruderの違い
57
Repeater Intruder
診断パターン 利用者が用意する
利用者が用意する
メリット
利用者の好きなよう
にリクエストを修正
し、送信できる
決められたパターン
を自動的に送信して
くれる
特徴 柔軟性がある
診断結果分析の補助
機能がある

58. Burp SuiteにExtension(拡張用プログ
ラム)をインストールすることで、拡張
することが可能です。
2017/5/29
拡張機能に関して
58
Burp Suite
・Proxy機能
・診断機能
・ファイル探索機能
など
Extension
独自の機能を実装
できます

59. Extensionは、BApp Storeからの取得
または独自に作成。
2017/5/29
拡張機能に関して
59
独自に作成することも
可能。
・Java
・Python
・Ruby
UIの操作でインストー
ルが可能。
ただし、Professiona
l Editionしか利用でき
ないものもある。

60. Free Editionのログ保存機能に制限が
あったり、日本語で文字化けなどが発生
することがあるので、そういう問題を
Extensionで回避。
• Logger++(BApp storeからインストー
ル)
• OgaCopy(http://www.geocities.jp/b
urplogviewer/burpextender.html)
2017/5/29
拡張機能に関して
60

61. 2017/5/29 61
Burp Suiteの操作

62. Burp Suiteはjarファイルとして配布されているため、jarファイ
ルをダブルクリックするだけで起動できます。
しかし、診断するとメモリを多く使用しますので、メモリサイ
ズを指定して起動することをお勧めします。
メモリサイズを指定した起動方法は以下のコマンドを実行しま
す。
java -Xmx1024m -jar /path/to/burp.jar
はせがわようすけ氏が、最新バージョンのjarファイルを自動的
に探して起動するスクリプトを公開しています。 jarファイルの
保存先フォルダと、コマンドライン引数を適宜書き換えて利用
してください。
https://gist.github.com/hasegawayosuke/71729d508f90
3a7dd42e
Burpを起動する
62

63. Burpを起動すると、プロジェクトを選択する画面が出ますがフ
リー版の場合は「Temporary project」しか選べません。
そのまま「Next」ボタンを押します。
Burpを起動する
63

64. 「Use Burp defaults」を選択し、「Start Burp」ボタンを押し
ます。
Burpを起動する
設定をファイルに
保存し、次回以降
にその設定を使用
できます。
以前使用した設定
を使用する場合は
「Load from
configuration
file」を選択し、
ファイルを指定し
ます。
64

65. 検査対象外のリクエストを検査しないようにScopeを設定しま
す。
「Target」「Scope」タブを選択します。
「Include in scope」の「Add」ボタンを押します。
ターゲットの設定
65

66. 以下の設定を行い、「OK」ボタンを押します。
 Host or IP range：検査対象のホスト名、IPアドレス
今回の実習では「^www.badstore.net$」を指定します。
ターゲットの設定
検査対象の制限は以下の項目でも可能です。
Protocol：HTTP/HTTPS/Any
Port：サーバーのポート番号
File：ファイルパス
Host or IP range、Port、Fileは正規表現で指定することもできます。
66

67. デフォルト設定ではすべてのリクエストをキャプチャします。検
査対象となるリクエストのみキャプチャするように設定します。
「Proxy」「Options」タブを選択します。
「Intercept Client Requests」の「URL：Is in target scope」
にチェックを入れます。
リクエストのキャプチャ制限
67

68. ブラウザで「http://www.badstore.net」にアクセスし
ます。
リクエストのインターセプト
68

69. Burpの「Proxy」「Intercept」タブを開くと今送信した
リクエストがキャプチャされています。
このリクエストは変更せずにサーバーに送信するため
「Forword」ボタンを押します。
リクエストのインターセプト
「Intercept is on」ボタンをクリック
して、表示を「Intercept is off」に変
更すると、リクエストがインターセ
プトされなくなります。
再度インターセプトしたい場合は
「Intercept is off」ボタンをクリック
して、表示を「Intercept is on」に変
更してください。
69

70. リクエストが送信され、ブラウザにページが表示されま
す。
リクエストのインターセプト
70

71. 診断対象の機能を使用し、リクエストを送信します
検索に「test」を入力し、「 」をクリックします。
リクエストのインターセプト
71

72. Burpに今送信したリクエストがキャプチャされているので、パ
ラメーター「searchquery」の値を
「<script>alert(1)</script>」に変更します。
「Forward」ボタンをクリックして、リクエストを送信します。
リクエストのインターセプト
「<script>alert(1)</script>」
に変更します
72

73. 「Param」タブを表示すると、リクエストで送信される
パラメーターが表形式で表示されるので、改ざんが楽に
行えます。
リクエストのインターセプト
73

74. 正しくリクエストを書き換えて送信できれば、XSSの攻
撃が成功し、ポップアップウィンドウがブラウザに表示
されます。
リクエストのインターセプト
74

75. 付録
75

76. デフォルトのフォントでは日本語が文字化けします。このため、
日本語フォントに変更します。
「User options」「Display」タブを開きます。
フォントの設定

77. 「HTTP Message Display」の「Change font」ボタンを押し
ます。
日本語フォントを選択し、「OK」ボタンを押します。
フォントの設定

78. HTTPSでの接続の際、証明書が不正である旨の警告画面が表示
されます。これを防ぐためにBurp SuiteのCA証明書をブラウザ
にインポートします。
「http://burp/」にアクセスし、「CA certificate」をクリック
し、ファイルを保存します。
CA証明書のインポート

79. Firefoxの設定画面を開き、「詳細」「証明書」タブを開きます。
「証明書を表示...」ボタンを押します。
CA証明書のインポート

80. 「インポート」ボタンを押します。
保存した証明書ファイルを選択し、「開く」ボタンを押します。
CA証明書のインポート

81. 「この認証局によるWebサイトの識別を信頼する」チェックを
入れ、「OK」ボタンを押します。
CA証明書のインポート