DVWAでBrute Forceにトライ(11/13追記)
こんにちは。
まだまだ駆け出しですが脆弱性を探す練習を少しずつ。
やられサイトのDVWA(1.10)の「Brute Force(LOW)」をやってみました。ログインしてBrute Forceを選択し以下の画面が。
Burp Suiteに切り替え、Intercept をOn に。
Loginボタンを押してProxy HTTP history 中のGETメソッドIntruderへSend。
パラメーターをClearし、usernameとpasswordをパラメーターにadd。
attack typeをCluster bombにし、Payloadsを設定。
Payload Setの1にusernameの候補、2にpassswordの候補をリストに追加
usernameとpasswordをそれぞれ5,6個ずつ設定。
いざ、Start Attackをと。
で、InterceptをOffにするとログインができたという画面に変わるのですが、どのusernameとpasswordの組み合わせで成功したのか分からない。
#adminとpasswrodの組み合わせでログインができることは一旦置いておい
#といて。
IntruderのOptionsを見てみると「Grep - Match」という項目があり、どうやらログインが成功した際の表現を登録できるよう。
ログイン後の画面から適当に「protected area」をチョイスし登録。
再度ブルートフォースを!!
すると、「protected area」にフラグで1が立ってます。
ということで、usernameとpassの組み合わせがわかりますと。
<以下追記>
Intruderでattackをスタートし、結果が表示されます。
Statusをみると全て200番台。
あれ?と思いましたが他の項目を確認。
するとLengthの中に1つだけ値が違うRequestが。
その詳細をみて、IDとPasswordをメモってサイトに入力してみる。
と、ログインが出来る。
こういうことでいいのかな。
以上です。
この記事が気に入ったらサポートをしてみませんか?