Shikata Ga Nai

Private? There is no such things.

MutillidaeⅡでBrute Force Attack

Hello there,

 

Mutillidaeでも、ブルートフォース攻撃を。

まずは、以下のようにBurp Suiteの前準備を。

お決まりで『Intercept on』に。

 

f:id:ThisIsOne:20191210185445p:plain

 

f:id:ThisIsOne:20191210185534p:plain

 

架空のIDでログインして。

 Username:test

 Password:pass

 

f:id:ThisIsOne:20191210190304p:plain

 

パラメータの内容を確認して。

右クリックで、『Send to Intruder』を選択して。

 

f:id:ThisIsOne:20191210190544p:plain

 

『Intruder』⇨『Positions』タグを見るとパラメータが囲まれていて。

画面右側の『Clear』ボタンで一旦クリアして。

usernameとpasswordのパラメータを各々選択して『Add』ボタンを。

 

f:id:ThisIsOne:20191210190801p:plain

 

画面上のAttack typeの変更を忘れずに。

 Cluster bomb

 

f:id:ThisIsOne:20191210190949p:plain

 

次に隣の『Payloads』タブへ。

1つ目のパラメータに投げるペイロードを『Add』ボタンで追加して。

 

f:id:ThisIsOne:20191210191313p:plain

 

さらに2つ目のパラメータに投げるペイロードを『Add』ボタンで追加して。

 

f:id:ThisIsOne:20191210191404p:plain

 

画面右上の『Start attack』ボタンを実行すると。

1件だけHTTPステータスコードが302で返ってきて。

 

f:id:ThisIsOne:20191210191507p:plain

 

ログイン画面に戻って。

その組み合わせでログインすると成功した。

本来なら大量のデータリストをインポートして実行することに。

 

f:id:ThisIsOne:20191210191628p:plain

 

Best regards,