يوضح هذا البرنامج التعليمي كيفية تثبيت BurpSuite على دبيان ، وكيفية إعداد متصفحك (في هذا البرنامج التعليمي ، أعرض فقط كيفية إعداده على Firefox) وشهادة SSL وكيفية التقاط الحزم بدون تكوين وكيل سابق على الهدف من خلال دمجه مع ArpSpoof و تكوين الوكيل غير المرئي للاستماع.
لبدء تثبيت BurpSuite قم بزيارة وحدد ملف احصل على خيار المجتمع (الثالثة) للحصول على BurpSuite مجانًا.
في الشاشة التالية ، انقر فوق الزر 'تنزيل أحدث إصدار' باللون البرتقالي للمتابعة.
انقر على زر التنزيل الأخضر.
احفظ البرنامج النصي .sh وامنحه أذونات التنفيذ عن طريق تشغيل:
#chmod+ س<package.sh>في هذه الحالة بالنسبة للإصدار الحالي في هذا التاريخ أقوم بتشغيل:
#chmod+ x burpsuite_community_linux_v2020_1.sh 
بمجرد منح حقوق التنفيذ ، قم بتنفيذ البرنامج النصي عن طريق التشغيل:
#./burpsuite_community_linux_v2020_1.shسيطلب منك مثبت واجهة المستخدم الرسومية ، اضغط على التالي لاستكمال.
اترك دليل التثبيت الافتراضي (/ opt / BurpSuiteCommunity) ما لم تكن بحاجة إلى موقع مختلف واضغط التالي لاستكمال.
ابحث عن إنشاء ارتباط رمزي محددًا واترك الدليل الافتراضي واضغط على التالي .
ستبدأ عملية التثبيت:
بمجرد انتهاء العملية ، انقر فوق ينهي .
من قائمة تطبيقات مدير X-Window حدد BurpSuite ، في حالتي كان موجودًا في الفئة آخر .
قرر ما إذا كنت ترغب في مشاركة تجربة BurpSuite الخاصة بك أم لا ، انقر فوق أنا أرفض ، أو أنا أقبل لاستكمال.
يترك مشروع مؤقت و اضغط التالي .
يترك استخدم افتراضيات التجشؤ و اضغط ابدأ التجشؤ لبدء البرنامج.
سترى شاشة BurpSuite الرئيسية:
قبل المتابعة ، افتح متصفح فايرفوكس وافتحه http: // تجشؤ .
ستظهر شاشة مشابهة لما هو موضح أدناه ، في الزاوية اليمنى العليا ، انقر فوق شهادة CA .
قم بتنزيل الشهادة وحفظها.
في قائمة Firefox انقر فوق التفضيلات ، ثم انقر فوق الخصوصية والأمن وانتقل لأسفل حتى تجد قسم الشهادات ، ثم انقر فوق عرض الشهادات كما هو مبين أدناه:
انقر فوق يستورد :
حدد الشهادة التي حصلت عليها مسبقًا واضغط افتح :
انقر فوق ثق في هذا المرجع المصدق لتحديد مواقع الويب. و اضغط نعم .
الآن ، ما زلت في قائمة تفضيلات Firefox ، انقر فوق جنرال لواء في القائمة الموجودة في الجانب الأيسر وانتقل لأسفل حتى تصل اعدادات الشبكة ، ثم انقر فوق إعدادات .
يختار التكوين اليدوي للوكيل وفي الموقع الوكيل تعيين الحقل IP 127.0.0.1 ، ضع علامة على استخدم هذا الخادم الوكيل لجميع البروتوكولات ، ثم اضغط نعم .
الآن BurpSuite جاهز لإظهار كيف يمكنه اعتراض حركة المرور من خلاله عند تعريفه على أنه وكيل. في BurpSuite ، انقر فوق الوكيل علامة التبويب ثم على تقاطع علامة تبويب فرعية مع التأكد الاعتراض قيد التشغيل وقم بزيارة أي موقع ويب من متصفح Firefox الخاص بك.
سيتم تمرير الطلب بين المتصفح والموقع الإلكتروني الذي تمت زيارته عبر Burpsuite ، مما يسمح لك بتعديل الحزم كما هو الحال في هجوم Man in the Middle.
المثال أعلاه هو عرض ميزة الوكيل الكلاسيكي للمبتدئين. ومع ذلك ، لا يمكنك دائمًا تكوين الخادم الوكيل للهدف ، إذا قمت بذلك ، فسيكون برنامج تسجيل المفاتيح أكثر فائدة من هجوم Man In the Middle.
الآن سوف نستخدم DNS و وكيل غير مرئي ميزة لالتقاط حركة المرور من نظام لا يمكننا تكوين الوكيل عليه.
لبدء تشغيل Arpspoof (على دبيان وأنظمة Linux القائمة ، يمكنك التثبيت من خلالها apt تثبيت dsniff ) بمجرد تثبيت dsniff مع arpspoof ، لالتقاط الحزم من الهدف إلى جهاز التوجيه على وحدة التحكم ، قم بتشغيل:
#سودوأربسبوف-أنا <واجهة الجهاز> -t <الهدف IP> <جهاز التوجيه IP> 
ثم لالتقاط الحزم من جهاز التوجيه إلى الهدف ، قم بتشغيله في محطة ثانية:
#سودوأربسبوف-أنا <واجهة الجهاز>-t<جهاز التوجيه IP> <الهدف IP> 
لمنع حظر الضحية ، قم بتمكين إعادة توجيه IP:
#رما - طرد - قذف 1 > /نسبه مئويه/sys/صافي/ipv4/ip_forward 
أعد توجيه كل حركة المرور إلى المنفذين 80 و 443 إلى جهازك باستخدام iptables عن طريق تشغيل الأوامر أدناه:
# sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT - to-destination192.168.43.38
# sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT - to-destination
192.168.43.38
قم بتشغيل BurpSuite كجذر ، وإلا فإن بعض الخطوات مثل تمكين وكلاء جدد على منافذ معينة لن تعمل:
# جافا-إناء-Xmx4g/يختار، يقرر/مجتمع BurpSuite/burpsuite_community.إناء 
إذا ظهر التحذير التالي ، فاضغط على 'موافق' للمتابعة.
بمجرد فتح BurpSuite ، انقر فوق الوكيل > خيارات وانقر على يضيف زر.
يختار 80 و على عنوان محدد حدد عنوان IP لشبكتك المحلية:
ثم انقر فوق طلب التعامل علامة التبويب ، علامة الاختيار دعم البروكسيات غير المرئية (تمكين فقط إذا لزم الأمر) و اضغط نعم .
كرر الخطوات أعلاه الآن باستخدام المنفذ 443 ، انقر فوق يضيف .
قم بتعيين المنفذ 443 وحدد مرة أخرى عنوان IP لشبكتك المحلية.
انقر فوق معالجة الطلب ، ضع علامة اختيار على دعم الوكلاء غير المرئي و اضغط نعم .
اجعل جميع الوكلاء قيد التشغيل وغير مرئي.
الآن من الجهاز المستهدف قم بزيارة موقع ويب ، ستعرض علامة التبويب Intercept الالتقاط:
كما ترى ، تمكنت من التقاط الحزم بدون تكوين وكيل سابق على متصفح الهدف.
آمل أن تكون قد وجدت هذا البرنامج التعليمي على BurpSuite مفيدًا. استمر في اتباع LinuxHint للحصول على مزيد من النصائح والتحديثات حول Linux والشبكات.