Burp Suite Cheat Sheet :simple-burpsuite: 🛜

Burp Suite là một nền tảng tích hợp dùng để tấn công các ứng dụng web. Nó hoạt động như một Proxy trung gian giữa trình duyệt và máy chủ mục tiêu.

1. Cơ chế hoạt động (Proxy Workflow)

Hiểu cách Burp Suite can thiệp vào luồng HTTP/HTTPS.

graph LR A[Browser] --> B{Burp Proxy} B -- Intercept ON --> C[Manual Edit] C --> D[Target Server] B -- Intercept OFF --> D D --> B B --> A

Sử dụng phím tắt giúp tối ưu hóa thời gian khi thực hiện Pentest.

Phím tắt	Chức năng	Giải thích
Ctrl + R	Send to Repeater	Chuyển request sang tab Repeater để thử nghiệm thủ công.
Ctrl + I	Send to Intruder	Chuyển request sang tab Intruder để tấn công tự động/fuzzing.
Ctrl + Shift + R	Render Page	Hiển thị giao diện web của response trong Repeater.
Ctrl + U	URL Encode	Mã hóa URL các ký tự được chọn.
Ctrl + Shift + U	URL Decode	Giải mã URL.
Ctrl + B	Base64 Encode	Mã hóa Base64.
Ctrl + Shift + B	Base64 Decode	Giải mã Base64.
Ctrl + F	Find	Tìm kiếm trong nội dung Request/Response.
Ctrl + Space	Intercept Toggle	Bật/Tắt chế độ chặn gói tin (Cần cấu hình Hotkey).

Nơi quản lý và can thiệp trực tiếp vào lưu lượng mạng.

Dùng để chỉnh sửa một request duy nhất và gửi đi nhiều lần để quan sát phản hồi.

Công cụ tự động hóa việc gửi các request biến đổi. Cần nắm vững 4 kiểu tấn công (Attack Types):

Cơ chế: Sử dụng 1 bộ payload. Thử lần lượt vào từng vị trí (position) đã đánh dấu.
Ứng dụng: Kiểm tra lỗi Fuzzing cơ bản, thử mật khẩu cho 1 User.

Cơ chế: Sử dụng 1 bộ payload. Gửi cùng 1 payload vào tất cả các vị trí cùng một lúc.
Ứng dụng: Khi bạn cần cùng một giá trị xuất hiện ở nhiều nơi trong request.

Cơ chế: Sử dụng nhiều bộ payload tương ứng với nhiều vị trí. Lấy payload thứ nhất của mỗi bộ cùng lúc.
Ứng dụng: Thử cặp Username:Password (User1:Pass1, User2:Pass2).

Cơ chế: Thử mọi tổ hợp có thể giữa các bộ payload (Tích Cartesian).
Ứng dụng: Brute-force cực mạnh (Ví dụ: 100 users x 100 passwords = 10,000 requests).

Tự động thay đổi nội dung request/response dựa trên quy tắc định sẵn.

Đường dẫn: Proxy -> Options -> Match and Replace.
Ứng dụng:
- Tự động thay đổi User-Agent để giả lập thiết bị di động.
- Thêm header X-Forwarded-For để bypass bộ lọc IP.
- Ép buộc quyền admin bằng cách đổi is_admin=false thành is_admin=true trong body.

Công cụ để phát hiện các lỗ hổng Out-of-band (OOB).

Cách dùng: Lấy một link collaborator và chèn vào các tham số nghi ngờ bị lỗi Blind SSRF hoặc Blind OS Injection.
Kết quả: Nếu máy chủ mục tiêu tương tác với link này (DNS hoặc HTTP), Burp sẽ ghi lại.

Dùng để duy trì phiên đăng nhập hoặc thực hiện một chuỗi hành động trước khi gửi request chính.

Phân tích sâu file Log/History bằng cách lọc:

Filter by Status Code: Chỉ hiện 200 OK hoặc 404, 500.
Filter by MIME Type: Chỉ hiện JSON, XML hoặc HTML.
Filter by Search Term: Tìm các request có chứa từ khóa “admin”, “password”, “config”.

Để nâng cao sức mạnh của Burp, nên cài đặt các Extension sau:

Tiện ích	Công dụng
Turbo Intruder	Gửi hàng triệu request với tốc độ cực cao (dùng Python).
Autorize	Tự động kiểm tra lỗi phân quyền (Authorization).
JSON Beautifier	Làm đẹp định dạng JSON để dễ đọc.
Param Miner	Tự động tìm kiếm các tham số ẩn (Hidden parameters).
Logger++	Ghi nhật ký chi tiết hơn cả tab History mặc định.

Để Burp Suite có thể đọc được dữ liệu HTTPS, bạn phải cài đặt CA Certificate của Burp vào trình duyệt.

Bypass Client-side Validation: Tắt Intercept, thực hiện nhập liệu đúng trên web, sau đó bật Intercept và đổi giá trị thành dữ liệu độc hại trước khi gửi đi.
Bypass File Upload Restriction:
- Đổi Content-Type từ application/x-php thành image/jpeg.
- Đổi tên file từ shell.php thành shell.php.jpg hoặc shell.phtml.
Bypass Rate Limiting:
- Sử dụng các header như X-Originating-IP, X-Forwarded-For, X-Remote-IP.
- Sử dụng Intruder với danh sách IP giả mạo.