Xem thêm: Thực hành trên công cụ DVWA
Burp Intruder là một công cụ dùng để tự động tấn công các ứng dụng web, xác định và khai thác các lỗ hổng bảo mật. Burp Intruder có thể sử dụng để:
– Fuzzing để xác định các lỗ hổng thông dụng như SQLi, XSS, Buffer overflows.
– Thực hiện tấn công brute force.
– Khai thác lỗi như kiểm soát truy cập và rò rỉ thông tin để lấy các dữ liệu nhạy cảm từ ứng dụng…
Bài viết này sẽ hướng dẫn sử dụng Burp Intruder để thực hiện tấn công brute force
Trước tiên sử dụng Burp suite làm proxy server (xem hướng dẫn tại Burp suite công cụ bảo mật đặc chủng Phần 2)
Mở trình duyệt vào giao diện đăng nhập cần tấn công (ví dụ sử dụng lab DVWA). Sau đó điền tên đăng nhập và mật khẩu bất kỳ.
Burp proxy sẽ lưu lại các yêu cầu và phản hồi, vào tab Proxy -> HTTP history chuột phải vào yêu cầu vừa gửi chọn Send to Intruder hoặc ấn tổ hợp phím Ctrl + I.
Sau đó vào tab Intruder -> Positions sẽ thấy một request như sau:
Burp Intruder đã tự động đánh dấu các vị trí của các payloads (vị trí các biến có thể thay đổi giá trị). Vị trí các payloads được xác định bởi ký tự §, Intruder sẽ thay đổi giá trị nằm giữa hai ký tự §.Ta cũng có thể tự thêm, xóa, thay đổi vị trí các payloads theo ý mình, ở đây ta sẽ thay đổi giá trị của 2 biến username và password. Sau khi chọn vị trí payloads, ta sẽ chọn kiểu tấn công (attack type). Có 4 kiểu tấn công khác nhau: Sniper, Battering Ram, Pitchfork, Cluster Bomb (tham khảo thêm tại http://www.portswigger.net/burp/help/intruder_positions.html).
Trong trường hợp này chọn kiểu tấn công Cluster bomb.
Sau khi chọn kiểu tấn công, ta sẽ lựa chọn payloads. Vào tab Intruder -> Payloads
Trong phần payload sets sẽ có 2 biến 1 ứng với username và 2 ứng với password.
Đầu tiên chọn payload cho biến username chọn 1 ở phần Payload set, Payload type: Simple list. Phần Payload Option chọn Add fromlist -> Usernames, trong trường hợp này chọn 1 danh sách username có sẵn trong Burp suite để phục vụ việc brute force. Danh sách này bao gồm 8894 username khác nhau.
Bây giờ sẽ chọn payloads cho biến password, trong Payload set chọn 2, ta sẽ lấy 1 danh sách password từ bên ngoài không phải danh sách có sẵn trong Burp. Phần Payload type chọn Runtime file. Phần Payload Options chọn Select file sau đó chọn file danh sách password (pass.txt).
Sau khi lựa chọn payloads cho các biến, phần Redirections chọn Always sau đó tick vào ô Process cookies in redirections sau đó chọn Start attack để bắt đầu tấn công. Một cửa sổ các yêu cầu client và phản hồi của server hiện ra. Dựa vào kết quả có được ta có thể suy luận được username và password là admin và password do kết quả trả về có độ lớn vượt trội so với các yêu cầu khác.
Kiểm chứng lại bằng cách đăng nhập bằng username và password vừa tìm được.
Theo conmaz
Lượt xem (1553)