Ataque de fuerza bruta con eructo
En muchas ocasiones, como probadores de penetración, tendremos que enfrentarnos a una aplicación web donde contendrá un formulario de inicio de sesión que tendremos que probar para ver si tiene credenciales débiles. Burp Suite es probablemente la mejor herramienta para evaluar las aplicaciones web. el uso es para ser un interceptor proxy, sin embargo, proporciona muchas otras funciones a los probadores de penetración y también puede usarse para atacar un formulario de inicio de sesión. En este artículo examinaremos cómo podemos usar Burp para realizar un ataque de fuerza bruta en una aplicación web.
Digamos que tenemos el siguiente formulario de inicio de sesión:
- ¿Se puede utilizar Django Framework para aplicaciones web empresariales?
- ¿Es Ruby on Rails el mejor marco web para crear aplicaciones web?
- ¿Cómo realizan las personas la implementación automatizada de las aplicaciones web de Python en AWS?
- En HTML5, ¿ contiene o contiene ? Me estoy confundiendo un poco sobre esto.
- ¿Cuál es el mejor idioma para aprender para ser desarrollador web?
Intentaremos enviar un nombre de usuario y una contraseña y utilizaremos Burp Suite para capturar la solicitud HTTP.
Luego enviaremos la solicitud al Intruso (Acción—> Enviar al Intruso) y borraremos las posiciones en la solicitud de que no necesitaremos insertar cargas útiles que son $ low $ y cookie de sesión, por lo que dejaremos las siguientes posiciones :
Como tipo de ataque, elegiremos la bomba de clúster porque este tipo de ataque puede tomar cada palabra de la lista de nombres de usuario y puede correr contra cada palabra de la lista de contraseñas para descubrir las credenciales correctas.
Ahora es el momento de establecer las cargas útiles en las tres posiciones. Por lo tanto, cargaremos nuestras listas de palabras que contienen nombres de usuario y contraseñas en las opciones de carga útil de Burp y para la tercera posición, simplemente pondremos como opción $ Login $ .En las siguientes tres imágenes, puede ver esta configuración.
Ahora todo está listo y podemos comenzar el ataque contra el intruso. El intruso comenzará a enviar solicitudes HTTP al formulario en función de nuestras cargas útiles e intentará todas las combinaciones posibles.
Después de la inspección de las respuestas, notaremos que Burp ha iniciado sesión correctamente con las credenciales smithy / contraseña.
Ahora podemos volver a la aplicación e intentar obtener acceso al área de administración con este nombre de usuario y contraseña.
Conclusión
Como vimos en este post-Burp, también es capaz de realizar ataques de fuerza bruta contra aplicaciones web. Los formularios de inicio de sesión se pueden encontrar en casi todas las aplicaciones web y la herramienta de intrusos puede ayudar al probador de penetración a automatizar sus pruebas. El descubrimiento de credenciales de administrador válidas puede marcar la diferencia en las pruebas de penetración de caja negra.