shikata ga nai

Private? There is no such things.

bWAPPでA2-Broken Auth-Password Attacks

Hello there,

 

A2 ⇨ Broken Auth - Password Attacksを選択して。

 

f:id:ThisIsOne:20200118111807p:plain

 

ログインIDは、わかっているものとして。

適当なパスワードを入力して。

下記のエラーメッセージは、ログイン失敗を判断するためにあとで利用することに。

 Invalid credentials! Did you forgot your password?

 

f:id:ThisIsOne:20200118112425p:plain

 

いつものようにBurp Suiteでパラメータを確認した後は。

右クリックで『Send to Intruder』を選択して。

 

f:id:ThisIsOne:20200118112713p:plain

 

『Intruder』タブへ移動して。

『Clear』ボタンでハイライトされている個所をリセットして。

 

f:id:ThisIsOne:20200118112947p:plain

 

攻撃したいのはパスワードなので。

パスワード箇所のパラメータを選択してから『Add』ボタンを。

Attack typeは、『Sniper』のままで。

 

f:id:ThisIsOne:20200118113141p:plain

 

次に『Payloads』タブへ移って。

Payload typeは、『Brute forcer』を選択して。

あとは、どのような文字の組み合わせで。

どのくらいの文字の長さで攻撃するかを入力すると。

『Payload count』に攻撃回数が表示されて。

 

f:id:ThisIsOne:20200118114013p:plain

 

最後にここで、エラーと判断する文字列を追加して。

 

f:id:ThisIsOne:20200118113631p:plain

 

『Start attack』ボタンを押して実行すると。

 

f:id:ThisIsOne:20200118113724p:plain

 

エラーと判断する文字列が1つだけなかったので。

パスワードは、『bug』であると。

 

f:id:ThisIsOne:20200118114202p:plain

 

Best regrads,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain