shikata ga nai

Private? There is no such things.

Username enumeration via different responsesをやってみた

Hello there, ('ω')ノ

 

今回は、基本的なユーザ名とパスワードに対してのブルートフォース攻撃を。

まずは、適当に入力して動作を確認して。

 

f:id:ThisIsOne:20201128171101p:plain

 

対象となるリクエストをIntruderへ。

 

f:id:ThisIsOne:20201128171430p:plain

 

はじめにユーザ名についてブルートフォースを。

 

f:id:ThisIsOne:20201128171503p:plain

 

あらかじめ用意されているユーザ名のリストを活用することに。

 

f:id:ThisIsOne:20201128171211p:plain

 

貼り付けて。

 

f:id:ThisIsOne:20201128171705p:plain

 

エラーメッセー時で結果を判定してみることに。

 

f:id:ThisIsOne:20201128171640p:plain

 

userというキーワードでヒットして。

 

f:id:ThisIsOne:20201128171758p:plain

 

次にパスワードについても同様に。

 

f:id:ThisIsOne:20201128172101p:plain

 

今回は、パスワードが間違っていた際のコメントで判定を。

 

f:id:ThisIsOne:20201128172033p:plain

 

正常ログイン後は、400番のステータスが返ってきて。

 

f:id:ThisIsOne:20201128172426p:plain

 

得られた下記のユーザ名とパスワードでログインしてクリアできた。

 user/zxcvbn

 

f:id:ThisIsOne:20201128172400p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain