Kali Linux Web渗透测试手册(第二版) - 4.2- 使用Burp Suite进行登陆页面的字典攻击

翻译来自：掣雷小组

成员信息：

thr0cyte，Gr33k，花花，MrTools，R1ght0us，7089bAt，

标记红色的部分为今日更新内容。

第四章、测试身份验证和会话管理

4.0、介绍

4.1、用户名枚举

4.2、使用Burp Suite进行登陆页面的字典攻击

4.3、使用Hydra强制进行暴力攻击

4.4、使用Metasploit破解Tomcat的密码

4.5、手工挖掘cookie中的漏洞

4.6、攻击会话固定漏洞

4.7、使用Burp排序器评估会话标识符的质量

4.8、滥用不安全的直接对象引用

4.9、执行跨站点请求伪造攻击

4.2、使用Burp Suite对登录页面进行字典攻击

一旦我们获得了目标应用程序的有效用户名列表，我们就可以尝试爆破攻击，它会尝试所有可能的字符组合，直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间，暴力攻击在Web应用程序中是不可行的。

一个更现实的解决方案是字典攻击，它采用一个简化的高可能性密码列表，并使用有效的用户名进行尝试。

在本文中，我们将使用BurpSuite Intruder尝试对登录页面进行字典攻击。

实战演练

我们将使用WackoPicko管理部分登录来测试此攻击：

1.首先，我们将Burp Suite设置为浏览器的代理。

2.浏览到http://192.168.56.102/WackoPicko/admin/index.php?page=login。

3.我们将看到一个登录表单。 我们尝试测试用户名和密码。

4.现在，在Proxy的历史记录里查找我们刚刚通过登录尝试发出的POST请求，并将其发送给Intruder。

5.单击清除§清除预先选择的插入位置。

6.现在，我们通过突出显示参数的值并单击Add§，将位置置于两个POST参数（adminname和password）的值上：

7.由于我们的密码列表针对所有用户，因此我们选择Cluster bomb作为攻击类型：

8.下一步是在Intruder中选择我们的输入测试值。 转到“Payloads”选项卡。

9.在Payloads选项[简单列表]部分的文本框中，添加以下名称：

• User
• john
• admin
• alice
• bob
• administrator

10.现在，从Payload设置框中选择列表2。 此列表将是我们的密码列表，我们将使用2017年最常用的25个密码进行此练习（http://time.com/5071176/worst-passwords-2017/）：

11.开始攻击: 我们可以看到所有响应似乎具有相同的长度，但是有一个：admin / admin组合具有状态303（重定向）和次要长度。 如果我们检查它，我们可以看到它是重定向到管理员的主页：

原理剖析

至于结果，我们可以看到所有失败的登录尝试得到相同的响应，但是一个状态为200（OK），在这种情况下长度为813个字节，因此我们假设成功的一个必须是不同的，在最小的长度（因为它必须重定向或将用户发送到他们的主页）。 如果发现成功和失败的请求长度相同，我们还可以检查状态代码或使用搜索框在响应中查找特定模式。

更多…

Kali Linux在/ usr / share / wordlists中包含一组非常有用的密码字典和单词列表。您将在那里找到的一些文件如下：

rockyou.tar.gz：RockYou网站于2010年12月遭到黑客攻击，泄露了超过1400万个密码，此列表包含了这些密码。这些密码存档在此文件中，因此您需要在使用之前将其解压缩：

tar -xzf rockyou.tar.gz

dnsmap.txt：包含常见的子域名，例如intranet，ftp或www;当暴力破坏DNS服务器时它很有用。

/dirbuster / *：dirbuster目录包含Web服务器中常见的文件名;使用DirBuster或OWASP-ZAP的强制浏览时可以使用这些文件。

/wfuzz / *：在这个目录中，我们可以找到一大堆用于网络攻击和暴力破解文件的模糊字符串。

/metasploit / *：此目录包含MetasploitFramework插件使用的所有默认词典。它包含带有多个服务，主机名，用户名，文件名等许多默认密码的字典。