shikata ga nai

Private? There is no such things.

DVWAでBrute Force(Low)

Hey guys!

セキュリティレベルを『Low』に設定して。

『Brute Force』メニューへ。

Burp Suiteを起動して『Intercept is on』に。

 

f:id:ThisIsOne:20191110165319p:plain

 

『Login』ボタンを押すと、Burp Suiteで入力されたコードが確認できます。

次に画面上で右クリックで『Send to Intruder』を選択。

 

f:id:ThisIsOne:20191110165520p:plain

 

はじめに『Target』タブで、アタックするターゲットの確認をして。

 

f:id:ThisIsOne:20191110165720p:plain

 

『Positions』タブでAttack Type:で『Cluter Bumb』を選択。

画面右の『Clear』ボタンで緑色に表示されているパラメータを一度リセット。

アタック対象となるパラメータのみを各々選択して、『Add』ボタンで追加。

 

f:id:ThisIsOne:20191110170120p:plain

 

次に『Payloads』タブへ移動して。

前の画面でパラメータを2つ追加したので、Payload set:のプルダウンでは『1』と『2』が選択可能。

まずは、1つ目のパラメータについて、下のエリアで候補となるユーザ名を追加。

 

f:id:ThisIsOne:20191110170345p:plain

 

同様に2つ目のパラメータについても候補となるパスワードを追加。

 

f:id:ThisIsOne:20191110170551p:plain

 

『Options』タブでは、Grep-Matchのエリアでログイン成功時に画面に表示されるキーワードとして『welcome』のみを追加。

デフォルトで表示されているキーワードは、『Remove』ボタンで削除。

 

f:id:ThisIsOne:20191110170753p:plain

 

画面右上の『Start attack』ボタンを押すとメッセージが。

どうやら、Community Editionだと制限があるとのことで、『OK』ボタンで進んで。

ちなみに『Start attack』ボタンは、どのタブで実行しても同じ。

 

f:id:ThisIsOne:20191110171715p:plain

 

各パラメータに追加したキーワードの組み合わせでログインを試して、成功した組み合わせにチェックが入る。

 

f:id:ThisIsOne:20191110171533p:plain

 

Burp Suiteを『Intercept is off』にして確認してみると、画面には『Welcome』の文字が。

どうやら表示される文字の大文字と小文字の比較はしていないみたい。

 

f:id:ThisIsOne:20191110171818p:plain

 

ここでは、Burp Suiteの機能をつかったBrute Forceの流れをつかめればよろしいかと。

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain