Archiwa tagu: hackvertor

Wtyczki

Hackvertor w Burp Suite – praktyczne zastosowania w testach bezpieczeństwa

Burp Suite to nieodłączny element pracy pentestera. Oprócz wbudowanych modułów, takich jak Repeater, Intruder czy Scanner, ogromnym wsparciem są dodatki z Burp App Store. Jednym z najciekawszych i najczęściej wykorzystywanych jest Hackvertor – narzędzie do kodowania, dekodowania i automatyzacji pracy z payloadami.

W tym wpisie pokażę, dlaczego Hackvertor jest tak przydatny i jak można go wykorzystać w codziennych testach bezpieczeństwa.

Instalacja Hackvertora

Dodatek można zainstalować bezpośrednio z Burp App Store – działa zarówno w wersji Pro, jak i Community (choć w tej drugiej z ograniczeniami, np. w Intruderze czy bez dostępu do skanera).

Możliwa jest także instalacja manualna – wystarczy pobrać plik BAPP z repozytorium GitHub i zaimportować go w Burp Suite.

Dzięki temu mamy dostęp do najnowszych aktualizacji i nowych funkcjonalności.

Ponad 150 metod kodowania

Hackvertor obsługuje setki transformacji – od prostego Base64, przez haszowanie (MD5, SHA), kompresję, szyfrowanie, aż po bypass’y dla XSS czy generowanie losowych danych.

Działa w pełnej integracji z Repeaterem, Intruderem i Scannerem, co pozwala automatycznie kodować lub dekodować payloady w trakcie testów.

Przykład:
Chcemy zakodować nagłówek User-Agent w Base64 – wystarczy zaznaczyć fragment requesta, wybrać tag Hackvertora (@base64) i wysłać zapytanie. W logach Burpa zobaczymy, że faktycznie została użyta zakodowana wartość.

Repeater:

Intruder:

Wsparcie przy atakach na uwierzytelnianie Basic

Częstym przypadkiem w testach jest brute-force na Basic Authentication.
Standardowo login i hasło są łączone (login:hasło) i kodowane w Base64. Problem w Intruderze polega na tym, że login i hasło są kodowane osobno. Hackvertor rozwiązuje ten problem, bo pozwala zakodować w locie całą wartość login:hasło – niezależnie od tego, ile kombinacji payloadów testujemy.

przykład z użyciem tagu Hackvertor w Repater lub Intruder:

To ogromna oszczędność czasu i precyzyjne odwzorowanie realnych prób ataku.

Praca z XML i Base64

Coraz częściej aplikacje przesyłają pliki XML zakodowane w Base64.
Podczas testów XXE (XML External Entity) czy wstrzykiwania payloadów wystarczy użyć Hackvertora, aby całość żądania była wysyłana poprawnie zakodowana. Dzięki temu testy są realistyczne i działają zgodnie z oczekiwaniami backendu.

Zmienne i automatyzacja

Hackvertor pozwala na definiowanie zmiennych lokalnych i globalnych (set / get), które można wykorzystywać w wielu requestach. Dzięki temu np. wygenerowane hashe, tokeny czy dane testowe mogą być ponownie używane w różnych modułach Burpa bez konieczności kopiowania i wklejania.

Przykład z użyciem tagów szyfrowania:

Dodatkowo dostępna jest funkcja fake data – generowanie losowych numerów telefonów, adresów, loginów czy e-maili. Idealne, gdy aplikacja nie akceptuje powtarzających się wartości.

Rozszerzone funkcje – JWT, auto decode i skrypty

JWT – Hackvertor potrafi generować i analizować tokeny JWT, w tym dekodować i modyfikować ich zawartość.

Auto decode – narzędzie potrafi automatycznie rozpoznać i zdekodować podejrzane ciągi znaków, co sprawdza się np. w CTF-ach czy przy analizie nieznanych formatów.

Skrypty – możemy pisać proste one-linery w Pythonie czy innych językach, które wykonują się bezpośrednio w Burpie (przy włączonej opcji Allow Code Execution).

Podsumowanie

Hackvertor to nie tylko “lepszy decoder” – to kombajn do automatyzacji i manipulacji payloadami.
Największe zalety to:

  • Integracja z Intruderem, Repeaterem i Scannerem.
  • Obsługa setek metod kodowania i szyfrowania.
  • Możliwość pracy z Base64 w realnych scenariuszach (Basic Auth, XML, JWT).
  • Generowanie zmiennych i fake data, co przyspiesza testy.
  • Elastyczność – od prostych transformacji po własne skrypty.

Warto poświęcić chwilę na naukę tego dodatku – w codziennych testach potrafi zaoszczędzić mnóstwo czasu i znacznie zwiększyć skuteczność.

Wtyczki

Hackvertor AI w Burp Suite – jak zacząć?

AI zmienia wiele dziedzin, w tym bezpieczeństwo aplikacji internetowych. Integracja AI z narzędziami takimi jak Burp Suite daje nowe możliwości dla pentesterów a także bug hunterów. W tym wpisie pokażemy, jak używać AI w Burp Suite przy pomocy rozszerzenia Hackvertor.

Czym jest Hackvertor i jak włączyć funkcje AI?

Hackvertor to rozszerzenie Burp Suite, które ułatwia najróżniejsze kodowania i szyfrowania danych. Niedawno dodano do niego funkcje AI. Dzięki temu, praca z Burp Suite staje się jeszcze łatwiejsza. Zobaczmy, jak to działa.

Włączanie AI w Hackvertor

Zanim zaczniesz używać AI w Hackvertorze, musisz go skonfigurować. Ważne abys wcześniej miał włączone AI w Burp Suite.

  1. Otwórz zakładkę Extensions w Burp Suite.
  2. Zaznacz opcję Use AI.
  1. Wejdź w menu Hackvertora i wybierz Settings:
  1. Zaznacz wszystkie opcje związane z AI i włącz Allow code execution tags:
  1. Kliknij Update.

Teraz możesz korzystać z funkcji AI w Hackvertorze.

Jak stworzyć własny tag działający z AI?

Hackvertor obsługuje różne języki programowania, takie jak Python i JavaScript. Teraz, dzięki AI, możesz tworzyć tagi konwersji za pomocą prostych poleceń.

Przykład: Crackowanie hasła MD5

Załóżmy, że masz hash MD5 i chcesz go złamać. AI może pomóc, ponieważ zna wiele tekstów jawnych dla hashów MD5:

  1. W menu Hackvertora kliknij Create custom tag.
  2. W oknie, które się otworzy, wpisz nazwę tagu, np. „crack_md5„.
  3. W polu polecenia (prompt) wpisz „Crack this md5 hash„.
  1. Kliknij Create tag.

Teraz tag jest dostępny w sekcji Custom. Kliknij go, a Hackvertor wyśle zapytanie do AI. AI użyje polecenia i spróbuje złamać hash.

Tworzenie tagu z językiem programowania

Dzięki AI, możesz tworzyć własne tagi nawet jeśli nie umiesz programować:

  1. Otwórz okno tworzenia nowego tagu.
  2. Wpisz nazwę tagu, np. „reverse_me„.
  3. Wybierz JavaScript jako język.
  1. W polu kodu wpisz polecenie, np. „Reverse this text”:
  1. Kliknij Use AI to generate code.
  2. Hackvertor poprosi o dane wejściowe i oczekiwane wyjście. Wpisz np. „abc” jako wejście i „cba” jako wyjście.
  1. Kliknij OK.

Hackvertor automatycznie stworzy tag z gotowym kodem JavaScript na podstawie twoich danych. Dużą zaletą jest to, że po stworzeniu kodu, nie zużywasz już więcej tokenów AI.

Automatyczny opis tagu generowany przez AI

AI może automatycznie tworzyć opisy tagów, które tworzysz.

  1. Wejdź w menu Hackvertora i kliknij List custom tags.
  1. Wybierz tag, który stworzyłeś, np. „reverse_me” i kliknij Edit.

Zobaczysz, że AI stworzyło opis tego, co robi dany kod. Jest to bardzo przydatne, jeśli nie znasz danego języka programowania:

Automatyczne tworzenie tagów z zapytań w Repeaterze

To eksperymentalna funkcja, która automatycznie tworzy tagi na podstawie zapytań z zakładki Repeater.

  1. Przejdź do zakładki Repeater i przygotuj zapytanie z kodowaniem, które chcesz zakodować lub odkodować. Na przykład, hex escape string.
  1. Wyślij kilka zapytań (button: Send)
  2. Wejdź w zakładkę Extensions. Zobaczysz rozmowę między Hackvertorem a AI. AI automatycznie rozpozna kodowanie i stworzy kod w Pythonie.
  1. Te tagi są teraz dostępne jako tagi własne. Możesz je edytować i używać w Hackvertorze bez pisania kodu.

Przykład:

  1. Wejdź w menu Hackvertora i kliknij List custom tags.
  1. Wybierz tag stworzony przez AI i kliknij Edit.
  2. Możesz teraz edytować tag.
  3. Aby sprawdzić, czy działa, kliknij Test tag, wpisz „test” jako dane wejściowe. Zobaczysz, że stworzył hex escape string.

Czy AI zostanie w Burp Suite na stałe?

Burp Suite zawsze dawał możliwość rozszerzania jego możliwości. Dzięki temu, możesz dostosować go do swoich potrzeb. Teraz, z pomocą AI, te możliwości są jeszcze większe.

Integracja AI z Burp Suite to duży krok naprzód. Daje ona nowe możliwości i ułatwia pracę. Czy jesteś gotowy, aby spróbować? Pobierz Hackvertora i zacznij eksperymentować z AI w Burp Suite!