翻译来自:掣雷小组
成员信息:
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,
标记红色的部分为今日更新内容。
第四章、测试身份验证和会话管理
4.0、介绍
4.1、用户名枚举
4.2、使用Burp Suite进行登陆页面的字典攻击
4.3、使用Hydra强制进行暴力攻击
4.4、使用Metasploit破解Tomcat的密码
4.5、手工挖掘cookie中的漏洞
4.6、攻击会话固定漏洞
4.7、使用Burp排序器评估会话标识符的质量
4.8、滥用不安全的直接对象引用
4.9、执行跨站点请求伪造攻击
4.2、使用Burp Suite对登录页面进行字典攻击
一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,暴力攻击在Web应用程序中是不可行的。
一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。
在本文中,我们将使用BurpSuite Intruder尝试对登录页面进行字典攻击。
实战演练
我们将使用WackoPicko管理部分登录来测试此攻击:
1.首先,我们将Burp Suite设置为浏览器的代理。
2.浏览到http://192.168.56.102/WackoPicko/admin/index.php?page=login。
3.我们将看到一个登录表单。 我们尝试测试用户名和密码。
4.现在,在Proxy的历史记录里查找我们刚刚通过登录尝试发出的POST请求,并将其发送给Intruder。
5.单击清除§清除预先选择的插入位置。
6.现在,我们通过突出显示参数的值并单击Add§,将位置置于两个POST参数(adminname和password)的值上:
7.由于我们的密码列表针对所有用户,因此我们选择Cluster bomb作为攻击类型:
8.下一步是在Intruder中选择我们的输入测试值。 转到“Payloads”选项卡。
9.在Payloads选项[简单列表]部分的文本框中,添加以下名称:
10.现在,从Payload设置框中选择列表2。 此列表将是我们的密码列表,我们将使用2017年最常用的25个密码进行此练习(http://time.com/5071176/worst-passwords-2017/):
11.开始攻击: 我们可以看到所有响应似乎具有相同的长度,但是有一个:admin / admin组合具有状态303(重定向)和次要长度。 如果我们检查它,我们可以看到它是重定向到管理员的主页:
原理剖析
至于结果,我们可以看到所有失败的登录尝试得到相同的响应,但是一个状态为200(OK),在这种情况下长度为813个字节,因此我们假设成功的一个必须是不同的,在最小的长度(因为它必须重定向或将用户发送到他们的主页)。 如果发现成功和失败的请求长度相同,我们还可以检查状态代码或使用搜索框在响应中查找特定模式。
更多…
Kali Linux在/ usr / share / wordlists中包含一组非常有用的密码字典和单词列表。您将在那里找到的一些文件如下:
rockyou.tar.gz:RockYou网站于2010年12月遭到黑客攻击,泄露了超过1400万个密码,此列表包含了这些密码。这些密码存档在此文件中,因此您需要在使用之前将其解压缩:
tar -xzf rockyou.tar.gz
dnsmap.txt:包含常见的子域名,例如intranet,ftp或www;当暴力破坏DNS服务器时它很有用。
/dirbuster / *:dirbuster目录包含Web服务器中常见的文件名;使用DirBuster或OWASP-ZAP的强制浏览时可以使用这些文件。
/wfuzz / *:在这个目录中,我们可以找到一大堆用于网络攻击和暴力破解文件的模糊字符串。
/metasploit / *:此目录包含MetasploitFramework插件使用的所有默认词典。它包含带有多个服务,主机名,用户名,文件名等许多默认密码的字典。