shikata ga nai

Private? There is no such things.

Juice ShopのPassword Strengthをやってみた

Hello there, ('ω')ノ

 

前回、SQLインジェクションでログインに成功した後で。

アカウント情報を見ることに。

 

f:id:ThisIsOne:20200831115914p:plain

 

すると、メールアドレスから管理者らしく。

 

f:id:ThisIsOne:20200831115821p:plain

 

一旦、ログアウトして下記でログインすることに。

 admin@juice-sh.op

 12345

 

f:id:ThisIsOne:20200831131154p:plain

 

Burp Suiteでリクエストをキャッチして、Intruderを選択して。

 

f:id:ThisIsOne:20200831120319p:plain

 

パスワードのパラメータのみを追加して。

 

f:id:ThisIsOne:20200831120404p:plain

 

Burp Suiteのパスワードリストでブルートフォース攻撃をしてみると。

 

f:id:ThisIsOne:20200831120847p:plain

 

シンプルなパスワードなはずだが見つけられず。

 

f:id:ThisIsOne:20200831121235p:plain

 

仕方ないので、下記よりパスワードリストをダウンロードして。

https://gist.github.com/PeterStaev/e707c22307537faeca7bb0893fdc18b7#file-passworddictionary-txt

 

f:id:ThisIsOne:20200831130550p:plain

 

ダウンロードしたパスワードリストで再度、攻撃を仕掛けると見つかって。

 admin123

 

f:id:ThisIsOne:20200831130639p:plain

 

クリアできた。

 

f:id:ThisIsOne:20200831130830p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain