На данном практическом занятии мы рассмотрим процесс установки и начальной настройки BurpSuite Professional на Ubuntu 24 (22).

BurpSuite — это мощный и широко используемый инструмент для тестирования безопасности веб-приложений, который помогает специалистам по безопасности проводить аудит и оценку уязвимостей. Мы рассмотрим, как легко использовать все возможности BurpSuite Professional бесплатно, чтобы получать максимальную пользу от этого инструмента без лишних затрат.

Дисклеймер: Все данные, предоставленные в статье, не призывают к действию и предоставлены только для ознакомления и изучения механизмов используемых технологий.

В поисковике через гугл-дорк ищем
site:github.com burpsuite professional

Переходим по первой ссылке.

Видим подготовительные действия. Открываем через hotkeys Ctrl + Alt + T терминал и вводим от привилегированного пользователя

sudo apt update sudo apt install curl git wget openjdk-17-jdk openjdk-17-jre openjdk-23-jdk openjdk-23-jre -y

У меня на 24 Ubuntu не сработало. Поэтому осуществим поиск по пакетам в репозиториях
sudo apt search openjdk
Видим, что 23 версии для java development kit отсутствует, поэтому правим нашу команду

sudo apt install curl git wget openjdk-17-jdk openjdk-17-jre openjdk-21-jdk openjdk-21-jre -y

Далее переходим к скрипту установки

curl https://raw.githubusercontent.com/xiv3r/Burpsuite-Professional/main/install.sh | sudo bash

Его содержимое приведено далее

#!/bin/bash

Клонирование репозитория с установочным скриптом Burp Suite Professional.

echo 'Cloning Xiv3r Burpsuite Professional'
git clone https://github.com/xiv3r/Burpsuite-Professional.git
cd /home/*/Burpsuite-Professional/

Создание директории для Burp Suite Professional и копирование файла loader.jar.

echo 'Downloading Burpsuite Professional Latest...'
mkdir -p /usr/share/burpsuitepro
cp -r loader.jar /usr/share/burpsuitepro
cd /usr/share/burpsuitepro/

Получение последней версии Burp Suite Professional с официального сайта.

html=(curl -s https://portswigger.net/burp/releases) version=(echo $html | grep -Po '(?<=/burp/releases/professional-community-)[0-9]+-[0-9]+-[0-9]+' | head -n 1)
Link="https://portswigger-cdn.net/burp/releases/download?product=pro&type=Jar&version=&"
echo $version

Загрузка последней версии Burp Suite Professional.

wget "Linkversion.jar --quiet --show-progress

Запуск Key Generator для активации продукта.

echo 'Starting Key Generator'
(java -jar /home/*/Burpsuite-Professional/loader.jar) &
sleep 2s

Запуск Burp Suite Professional с использованием Key Generator.

echo 'Executing Burpsuite Professional with Key Generator'
echo "java --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -javaagent:(pwd)/loader.jar -noverify -jar $(pwd)/burpsuite_pro_vversion.jar &" > burpsuitepro
chmod +x burpsuitepro

Копирование скрипта запуска в /bin для удобства запуска из терминала.

cp burpsuitepro /bin/burpsuitepro
(./burpsuitepro)

У нас скачается в директорию /usr/share/burpsuitepro/ jar файл откуда в последующем он будет запускаться и при первом запуске скрипта отобразится загрузчик необходимый для активации продукта - java -jar /home/*/Burpsuite-Professional/loader.jar

Также нам надо стартовать саму программу,

user@lh:~$ which burpsuitepro
/usr/bin/burpsuitepro

user@lh:~$ file $(which burpsuitepro)
/usr/bin/burpsuitepro: ASCII text, with very long lines (420)

user@lh:~$ cat $(which burpsuitepro)
java --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -javaagent:/usr/share/burpsuitepro/loader.jar -noverify -jar /usr/share/burpsuitepro/burpsuite_pro_v2024-7-3.jar &

Таким образом, команда на запуск из терминала с заданными аргументами

burpsuitepro

Далее копируем ключ лицензии и вставляем в поле программы

После продолжения выбираем Manual activation

Копируем запрос и вставляем в activation request в результате чего в активаторе появится

Activation response который необходимо вставить в программу с Manual Activation

Успех. Далее соглашаемся с условиями их работы и создаем проект.
На вкладке proxy видим первичные настройки, чтобы наши пакеты проксировались через наш активированный burpsuite – 127.0.0.1:8080

Соответсвенно, переходим в наш браузер, у меня это Mozilla Firefox по умолчанию,
по ссылке 127.0.0.1:8080, где будет возможность скачать сертификат PortSwagger для https certificate.
В менеджере доверенных сертификатов (about:preferences) импортируем в доверенные.

Далее там же about:preferences добавляем проксирование http, https через нашу программу.

Для удобства запуска создаем ярлык. Сначала конвертируем иконку программы:

sudo apt-get install imagemagick
convert burp_suite.ico burp_suite.jpg
mv burp_suite.jpg /usr/share/icons/BurpSuite/

Создаем файл ярлыка:
nano ~/.local/share/applications/burpsuitepro.desktop

Содержание файла ярлыка:
[Desktop Entry]
Version=1.0
Type=Application
Name=Burp Suite Pro
Comment=Start Burp Suite Professional
Exec=java --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -javaagent:/usr/share/burpsuitepro/loader.jar -noverify -jar /usr/share/burpsuitepro/burpsuite_pro_v$version.jar
Icon=/usr/share/icons/BurpSuite/burp_suite.jpg
Terminal=false
Categories=HackTheWorld;

Теперь через приложения можем запускать ярлык.

Наслаждаемся!

Комментарии (3)


  1. lukasafonov
    17.10.2024 15:54

    Настройка кряканного берпа из сомнительного источника на свой страх и риск без смс и регистраций. Причем в burploader'е уже находили зашитую малварь.


    1. Adm1ngmz Автор
      17.10.2024 15:54

      Исключительно для ознакомительных целей, ни в коем случае не призываем никого.


  1. Testman2023
    17.10.2024 15:54

    как легко использовать все возможности BurpSuite Professional бесплатно, чтобы получать максимальную пользу от этого инструмента без лишних затрат.

    Кроилово прводит к попадалову.
    Т.е. специалист по ИБ будет использовать непонятно кем собранный loader.jar?(есть сборки от китайцев и индусов)
    Вполне хватает Burp Suite Community Edition(burpsuite_2024.8.5-0kali1_arm64.deb) и bappstore
    Почему бы не использовать бесплатный OWASP ZAP (Zed Attack Proxy - zaproxy_2.15.0-0kali1_all.deb)?
    Репа под все дистрибы owasp-zap
    https://software.opensuse.org/download.html?project=home:cabelo&package=owasp-zap