Root case
Dạo gần đây mình có dính 1 case liên quan đến application trên Windows, việc check connect network rất quan trọng trong pentest, nó sẽ giúp các bạn có thể biết được application đó đang gửi những gì, kết nối tới đâu trên internet. Tuy nhiên dở một cái là application này KHÔNG HỖ TRỢ KẾT NỐI PROXY để capture request qua BurpSuite. Vậy ở đây chúng ta sẽ có nhiều cách để pentest case này:
- Cài đặt một số phần mềm có thể capture request như Wireshark, HTTP Debugger, Charles, …
- Cài một con máy ảo lên, cài application đó vào máy ảo rồi mở proxy toàn hệ thống kết nối qua BurpSuite
- Sử dụng một chương trình có thể control network của process đó rồi hướng tất cả connection đi qua 1 proxy (ở đây là BurpSuite)
- …. (mình chưa nghĩ ra, có cách nào hay hơn các bạn có thể comment bên dưới bài để mình học hỏi thêm nha ;)
Ở đây các bạn sử dụng cách nào :D, mình đã sử dụng qua cách 1, tuy nhiên nó gặp vấn đề là mình không quen sử dụng, không có nhiều tính năng như BurpSuite nên mình không thích. Không có repeater để sửa request các thứ, muốn sửa request phải copy raw request rồi paste sang BurpSuite để pentest =)).
Cách 2 mình thấy cũng ổn, tuy nhiên dở một cái là nó khá tốn phần cứng (đối với những ai máy yếu thì cả là một cực hình), việc tạo kết nối proxy full OS như thế sẽ có nhiều connect rác, mình không sử dụng đến, có thể giải quyết bằng việc add scope với BurpSuite nhưng mà vẫn nặng => vẫn là không thích.
Cách 3 mình thấy ok nhất, control luôn cái network của process đó rồi cho đi qua proxy burp, vừa nhẹ nhàng vừa tình cảm.
Mình có nhắn tin lên box hỏi anh em xem có cái nào xài luôn nào không, sau một thời gian tìm kiếm thì tìm được ra 1 cái opensource ở đây
https://github.com/VahidN/Process-Proxifier
Ngon vãi, hiển thị cả process nào mình muốn thông qua proxy, hỗ trợ cả kết nối Socks5 và HTTP. Các bạn có thể xài thử xem cái này nhé, khá ok đó :D
Tuy nhiên, sếp mình có gợi ý cho 1 program xịn hơn vì phải trả phí =))
Thường thì mấy thằng bắt trả phí thường ngon
Proxifier
Thôi thì bài viết này tập trung vào thằng này thôi, nên mình chỉ nói với thằng này thôi nhé =)) (không nhận tiền quảng cáo trá hình gì cả, chỉ thấy hay nên share cho ae thôi)
Home page: https://www.proxifier.com/
Download: https://www.proxifier.com/download/ProxifierSetup.exe
Các bạn download rồi về cài đặt như bình thường, khởi động program lên thì add proxy server vào thôi (Profile -> Proxy Servers)
Ở đây mình sử dụng BurpSuite làm proxy, hỗ trợ cả Socks4, Socks5 và HTTP, mình dùng HTTP cho thân thuộc
Cài đặt xong thì có nút Check để các bạn có thể kiểm tra xem proxy server hoạt động ok chưa, như hình trên là đã okla rồi nha.
Tiếp theo đến cài đặt rules để cho Proxifier có thể giúp mình kết nối các process chỉ định tới proxy server. (Profile -> Proxification Rules)
Ở phần này, các bạn nhớ để rule Default có action là Direct nhé, để tránh làm nặng proxy server. Khi muốn add 1 program để cho nó kết nối thông qua proxy server thì add rule như hình bên dưới
Điền tên rule, applications (phần này nếu các bạn biết app chạy với file gì thì gõ nguyên tên file vào, hoặc có thể sử dụng nhiều file, …) … action chọn server proxy muốn kết nối rồi bấm OK
Vậy xong rồi, toàn bộ connection trên process của program đều được thông qua BurpSuite hết, ngon phết :D
Các bạn cũng có thể save lại profile này để dùng về sau, có thể sử dụng nhiều profile khác nhau được
Kết
Nói chung là với cái case của mình thì xài Proxifier với Process-Proxifier đều ngon như nhau, các bạn thấy dùng cái nào được thì cứ xài thôi, see yaa