Brute Force
暴力破解其實就是利用不同的賬戶和密碼進行多次嘗試。
因為使用者在設定密碼時可能會選用比較容易記憶的口令,因此,可以使用一些儲存常用密碼的字典或者結合使用者的個人資訊進行爆破。
DVWA安全等級有Low,Medium,High和Impossible四種,隨著安全等級的提高,網站的防護等級和攻擊難度也不斷提高。這裡將DVWA安全等級設定為了Low。
Low
進入Brute Force頁面,可以看到一個登入框,需要填寫使用者名稱和密碼資訊。
隨意填寫賬號資訊,使用BurpSuite進行抓包,可以看到Request請求中所填寫的使用者名稱和密碼欄位。
將抓到的資料包傳送到Intruder模組(右鍵後選擇Send to intruder),對使用者名稱和密碼字典進行爆破,選中需要爆破的欄位然後點選Add。因此涉及兩個欄位這裡選擇Cluster bomb。
設定Payload,載入弱口令字典,這裡使用了Github上面的一個開源專案中的字典,PasswordDic: https://github.com/wwl012345/PasswordDic
啟動爆破,這裡可以發現當使用者名稱為admin,密碼為password時返回的length不同,可以嘗試進行登入,即可登陸成功。
Medium
整體流程與Low相同,不過伺服器增加了2s的驗證時間,破解速度略有減慢。
High
再次使用BurpSuite進行抓包,可以看到Get請求增加了user_token驗證,並且每次登入該token值都會發生改變。
檢視原始碼,可以看到增加了checkToken函式對user_token和session_token進行驗證。
分析HTML原始碼,可以看到其中隱藏了user_token欄位,也就是說,每次使用者獲取頁面時,伺服器會傳送包含隨機user_token值的頁面,當使用者提交表單時,就會將user_token值一同上傳,伺服器進行驗證。也就是說,只要我們每次爆破時將對應的user_token欄位一併提交即可。
重新抓包,設定需要爆破的欄位,這裡攻擊模式改為Pitchfork。(四種攻擊模式的區別可以自行查詢瞭解。)
在Settings選擇中找到Grep Extract即從響應中提取資訊,選擇Add。
設定要提取資訊的起始位置。
Redirection選擇Always。
分別設定payload,第三個位置設定為Recursive grep
設定資源池,這裡Conccurrent requests設定為1。
開始爆破即可得到使用者名稱和密碼。
