Tor 経由の HTTP 通信を Burp Suite でキャプチャーする手順

はじめに

2018 年 9 月から 2020 年 8 月まで、週 1 ～ 2 件のペースでウェブサイトの脆弱性を IPA に報告していました。

ただ、今は脆弱性の報告が推奨されない立場となりましたので、備忘録としてウェブサイトの挙動を確認する際に利用していた手順を書きとめておこうと思います。

環境

• Windows 10 Version 1909
• Internet Explorer 11¹
• Burp Suite Community Edition v1.7.36
• Java SE Runtime Environment 1.8.0_40²
• Tor Browser 10.0.7

構成

Internet Explorer，Burp Suite，Tor Browser を以下のように接続します。

準備

　1. Tor Browser の日本語版をダウンロードし、インストールします。
　　Download Tor Browser in your language - Tor Project

　2. JRE (Java SE Runtime Environment) をダウンロードし、インストールします。
　　全オペレーティング・システム用の Java のダウンロード - Oracle

　3. Burp Suite Community Edition をダウンロードし、インストールします。
　　Download Burp Suite Community Edition - PortSwigger

手順

Tor ネットワークへ接続

　1. Tor Browser を起動します。
　　

ローカルプロキシを設定

　1. Burp Suite Community Edition を起動します。
　　
　2. 「Target」タブを押下し、「Scope」タブを押下します。
　　
　3. 「Target Scope」の「include in scope」において、「Add」ボタンを押下します。
　　
　4. 「Add prefix for in-scope URLs」ダイアログにおいて、「Prefix」に「https://www.ugtop.com/」³を入力し、「OK」ボタンを押下します。
　　
　5. 「Proxy history logging」ダイアログにおいて、「Yes」ボタンを押下します。
　　
　6. 「Proxy」タブを押下し、「Intercept」タブを押下します。「Intercept is on」ボタンが押下された状態であることを確認します。
　　
　7. 「Proxy」タブを押下し、「HTTP history」タブを押下します。
　　
　8. 「Filter: Hiding CSS, image and general binary content」を押下します。
　　
　9. 「Filter by request type」において、「Show only in-scope items」にチェックします。
　　
　10. 「Proxy」タブを押下し、「Options」タブを押下します。「Proxy Listeners」において、「127.0.0.1:8080」にチェックします。
　　
　11. 「User options」タブを押下し、「Connections」タブを押下します。
　　
　12. 「SOCKS Proxy」において、「Use SOCKS proxy」にチェックし、以下の項目を入力します。

SOCKS proxy host: 127.0.0.1
SOCKS proxy port: 9150
Username: （未設定）
Password: （未設定）
「Do DNS lookups over SOCKS proxy」にチェック

　　

ブラウザーのプロキシの設定を有効化

　1. Internet Explorer を起動します。
　　
　2. メニューにおいて、「ツール」を押下し、「インターネットオプション」を押下します。
　　
　3. 「インターネットオプション」ダイアログにおいて、「接続」タブを押下します。
　　
　4. 「ローカルエリアネットワーク（LAN）の設定」において、「LAN の設定」ボタンを押下します。
　　
　5. 「ローカルエリアネットワーク（LAN）の設定」ダイアログにおいて、「プロキシサーバー」の「LAN にプロキシサーバーを使用する」のチェックボックスでチェックを入れた状態にし、「詳細設定」ボタンを押下します。
　　
　6. 「プロキシの設定」ダイアログにおいて、以下の項目を入力し、「OK」ボタンを押下します。

HTTP: localhost:8080
Secure: localhost:8080
FTP: localhost:8080
Socks: localhost:8080

　　
　8. 「ローカルエリアネットワーク（LAN）の設定」ダイアログにおいて、「OK」ボタンを押下します。
　　
　9. 「インターネットオプション」ダイアログにおいて、「OK」ボタンを押下します。
　　

送信元を確認（Tor ネットワークを経由する場合）

　1. Internet Explorer のアドレスバーに「https://www.ugtop.com/spill.shtml」を入力し、Enter キーを押下します。
　　
　2. 「Proxy」タブを押下し、「HTTP history」タブを押下します。Burp Suite において、リクエストをキャプチャーできていることを確認します。
　　
　3. 「Proxy」タブを押下し、「Intercept」タブを押下します。「Forward」ボタンを押下し、リクエストを送信します。
　　
　4. Internet Explorer において、「確認くん」のウェブページが表示され、「あなたの IP アドレス」の値を確認します。
　　

Tor ネットワークを経由していることを確認

　1. Internet Explorer のアドレスバーに「https://check.torproject.org/exit-addresses」を入力し、Enter キーを押下します。Tor の Exit ノードのリストにおいて、「確認くん」のウェブページで表示された IP アドレスが存在するか確認します。
　　

ブラウザーのプロキシの設定を無効化

　1. メニューにおいて、「ツール」を押下し、「インターネットオプション」を押下します。
　　
　2. 「インターネットオプション」ダイアログにおいて、「接続」タブを押下します。
　　
　3. 「ローカルエリアネットワーク（LAN）の設定」において、「LAN の設定」ボタンを押下します。
　　
　4. 「ローカルエリアネットワーク（LAN）の設定」ダイアログにおいて、「プロキシサーバー」の「LAN にプロキシサーバーを使用する」のチェックボックスでチェックを外した状態にし、「OK」ボタンを押下します。
　　
　5. 「インターネットオプション」ダイアログにおいて、「OK」ボタンを押下します。
　　

送信元を確認（Tor ネットワークを経由しない場合）

　1. Internet Explorer のアドレスバーに「https://www.ugtop.com/spill.shtml」を入力し、Enter キーを押下します。Internet Explorer において、「確認くん」のウェブページが表示され、「あなたの IP アドレス」および「ゲートウェイの名前」の値が自分の契約しているプロバイダーであることを確認します。
　　

おわりに

Tor ネットワークを経由して送信元を特定しにくくしながら、Burp Suite を利用する手順について説明しました。

参考

• How to intercept TOR hidden service requests with Burp
• 「ダークウェブの教科書」（Cheena，データハウス）

---

1. 業務で利用していたため、基本的に Internet Explorer で証跡を取得していました。 ↩

2. 1.7 系の Burp Suite を使用していたため、Java も 8u40 から更新しないようにしていました。 ↩

3. 送信元の確認には「確認くん」を利用していました。 ↩