Hey guys!
セキュリティレベルを『Low』に設定して。
『Brute Force』メニューへ。
Burp Suiteを起動して『Intercept is on』に。
『Login』ボタンを押すと、Burp Suiteで入力されたコードが確認できます。
次に画面上で右クリックで『Send to Intruder』を選択。
はじめに『Target』タブで、アタックするターゲットの確認をして。
『Positions』タブでAttack Type:で『Cluter Bumb』を選択。
画面右の『Clear』ボタンで緑色に表示されているパラメータを一度リセット。
アタック対象となるパラメータのみを各々選択して、『Add』ボタンで追加。
次に『Payloads』タブへ移動して。
前の画面でパラメータを2つ追加したので、Payload set:のプルダウンでは『1』と『2』が選択可能。
まずは、1つ目のパラメータについて、下のエリアで候補となるユーザ名を追加。
同様に2つ目のパラメータについても候補となるパスワードを追加。
『Options』タブでは、Grep-Matchのエリアでログイン成功時に画面に表示されるキーワードとして『welcome』のみを追加。
デフォルトで表示されているキーワードは、『Remove』ボタンで削除。
画面右上の『Start attack』ボタンを押すとメッセージが。
どうやら、Community Editionだと制限があるとのことで、『OK』ボタンで進んで。
ちなみに『Start attack』ボタンは、どのタブで実行しても同じ。
各パラメータに追加したキーワードの組み合わせでログインを試して、成功した組み合わせにチェックが入る。
Burp Suiteを『Intercept is off』にして確認してみると、画面には『Welcome』の文字が。
どうやら表示される文字の大文字と小文字の比較はしていないみたい。
ここでは、Burp Suiteの機能をつかったBrute Forceの流れをつかめればよろしいかと。
Best regards,
