1,364
社区成员
使用Burp Suite对登录页面进行字典攻击
前言
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Burp Suite的功能:
web代理(proxy)
request repeater(请求中继)
fuzzer(模糊测试)
request automation(自动化请求)
string encoderand decoder(字符串编解码)
vulnerability scanners(漏洞扫描,在专业版)
plugins to etend its functionality(插件扩展)和其它非常有用的功能。
一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,暴力攻击在Web应用程序中是不可行的。
一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。
在本文中,我们将使用BurpSuite Intruder尝试对登录页面进行字典攻击。
实战演练
使用WackoPicko管理部分登录来测试此攻击:
如下图所示,OWASP BWA的靶机IP是192.168.80.135
2. 打开Burp Suite自带的Chromium浏览器并登录靶场中的WackoPicko靶机
3. 这里我用kali的火狐浏览器访问http://192.168.22.130/WackoPicko/
点击页面下方的Admin
4. 跳到此登录页面
尝试的用户名为root,密码为kali
5. 在kali靶机的菜单栏搜索burpsuite,打开burpsuite,如下图
打开后看到此页面
6. 如果burpsuite不能正常使用,尝试打开kali中的火狐浏览器,选择Settings设置。(如果能正常使用,可跳过此步骤)
设置IP和port
将burp设置下图侦听端口(保证端口号和上图设置相同)
在火狐浏览器输入百度网址,可以看到burpsuite已经开始正常工作了
7. 在Proxy的历史记录里查找刚刚通过登录尝试发出的POST请求,并将其发送给Intruder。
8. 在Intruder/Positions中单击【Clear§】按钮,清除所有默认参数。
9. 现在,通过突出显示参数的值并单击【Add§】按钮,将位置置于两个POST参数(adminname和password)的值上。(§§这个符号框起来的部分表示要进行爆破的部分)
10. 由于密码列表针对所有用户,因此选择Cluster bomb作为攻击类型:
11. 接下来在Intruder中选择输入测试值。 转到Payloads选项卡。 在Payload sets中的payload set的参数选择1,payload type选择simple list
12. 在Payload settings[Simple list]中,Add对话框处添加以下名称:
User
john
admin
alice
bob
administrator
user
wackopicko
adam
sample
13. 下一步从Payload Set框中选择列表2,在Payload settings[Simple list]中,Add对话框处添加以下密码:
123456
Password
12345678
qwerty
12345
123456789
letmein
1234567
football
iloveyou
admin
welcome
monkey
login
abc123
starwars
123123
dragon
passw0rd
master
hello
freedom
whatever
qazwsx
trustno1
14. 点击上图右上方“的Start attack”开始攻击
可以看到所有响应似乎具有相同的长度,但是有一个admin / admin组合具有状态303(重定向)和次要长度。 如果检查它, 可以看到它是重定向到管理员的主页:
结论:我们可以看到所有失败的登录尝试得到相同的响应,但是一个状态为200(OK),在这种情况下长度为813个字节,因此我们假设成功的一个必须是不同的,在最小的长度(因为它必须重定向或将用户发送到他们的主页)。 如果发现成功和失败的请求长度相同,我们还可以检查状态代码或使用搜索框在响应中查找特定模式。
总结:深入了解后知道了Burp Suite在这里的主要作用是在用户使用的浏览器和目标服务器之间充当一个中间人的角色。这样当我们在浏览器中输入数据之后,数据包首先会被提交到Burp Suite处,Burp Suite可以将这个数据包进行复制,修改之后再提交到服务器处。所以Burp Suite 此时相当于一个代理服务器。
Burp Suite可以收集的信息量非常惊人,它为测试Web应用程序开辟了新的可能性。