专业的社区

使用Burp入侵者干草叉攻击的资格填充

  • 最近更新时间:2022年4月6日

  • 阅读时间:4分钟

打击者提供许多不同的攻击类型,这些类型确定了将有效载荷注入定义的有效负载位置的方式。

干草叉攻击类型在攻击要求您在同一请求中从不同列表中发送特定有效载荷组合的情况下,很有用。

在本教程中,您将学习:

  • 干草叉攻击的工作方式
  • 如何使用两组有效载荷配置基本的干草叉攻击
  • 如何执行凭证填充攻击

什么是凭证填充?

凭证填充是一种蛮力攻击的一种形式,攻击者试图使用已知的字典登录到站点用户名密码来自一个或多个其他站点的成对。这些凭据集通常是通过早期数据泄露获得的。

干草叉攻击是此目的的理想选择,因为您可以确保每个用户名都使用其匹配密码发送。从下面的示例中可以看到,每个有效负载列表中的第一项将一起发送,然后是每个列表中的第二个项目,依此类推。

干草叉攻击类型如何使用有效载荷

您将在下面的教程中执行这样的攻击。

笔记

Burp的浏览器是代理HTTP流量的一种简单方法 - 即使是加密的HTTPS协议也是如此。无需设置 - 只需转到代理人选项卡,单击打开浏览器,并确保拦截是关闭的

步骤1:打开实验室

使用Burp的浏览器,访问以下实验室:

https://beplay官网可以赌portsbeplay体育能用吗wigger.net/web-security/logic-flaws/examples/lab-lab-logic-flaws-excessive-trust-trust-in-client-side-controls

笔记

尽管该实验室并非打算演示此攻击,但它确实具有简单的登录表单,我们可以将其用作示例。

步骤2:发送登录请求到Burp Intruder

在实验室中,单击我的帐户链接以打开登录页面。使用任何任意值提交登录表单。

使用任意值进行登录请求

在Burp Suite中,去代理> HTTP历史记录标签。找出发布 /登录请求和发送给打击者

步骤3:选择攻击类型

位置子标签,使用攻击类型下拉菜单要选择

将攻击类型更改为干草叉

步骤4:配置有效载荷位置

单击入侵者标签并随您的请求转到子标签。

入侵者>位置子标签。这显示了请求,并带有§标记会自动插入Burp所确定的所有插入点。这可能包括您不想用有效载荷替换的cookie之类的东西。使用清除 §按钮清除所有这些。

在我们的示例中,我们仅替换用户名和密码。

突出显示用户名参数的值,然后单击添加 §。对密码参数做同样的事情。

向请求添加有效载荷标记

步骤5:添加用户名有效载荷

有效载荷子标签。

在标签的顶部是有效负载集选项。这使您可以在不同的有效载荷之间进行交替并配置它们。

为一个攻击,您需要配置与位置相同的数字有效负载集。

选择有效载荷集1,然后将候选用户名单粘贴到有效负载选项场地。

用户名列表

卡洛斯

行政
测试
来宾
信息
am
mysql
维纳
用户
行政人员
Oracle
ftp
pi
木偶
Ansible
EC2-用户
流浪汉
Azureuser
Academico
Acceso
使用权
会计
帐户

Activestat
广告
亚当
adkit
行政
行政管理
行政部门
行政人员
管理员
管理员
广告
adserver
ADSL
Ae
AF
会员
会员
Afiliados
Ag
议程
代理人
AI
AIX
阿贾克斯
AK
akamai
al
阿拉巴马州
阿拉斯加州
阿尔伯克基
警报
α
Alterwind

阿马里洛
美洲
一个
阿纳海姆
分析仪
宣布
公告
防病毒软件
AO
AP
apache
阿波罗
应用程序
App01
App1
苹果
应用
申请
应用
应用程序
aq
ar
阿奇
弧度
阿根廷
亚利桑那
阿肯色州
阿灵顿
作为
AS400
亚洲
asterix

雅典娜
亚特兰大
地图集
att
au
拍卖
奥斯丁
auth
汽车
自动发现
将有效载荷粘贴到Burp入侵者

步骤6:添加密码有效载荷

选择有效载荷集2,然后将候选密码列表粘贴到有效负载选项场地。

密码列表

123456
密码
12345678
QWERTY
123456789
12345
1234
111111
彼得
1234567

123123
棒球
ABC123
足球

让我进去
阴影
掌握
666666
qwertyuiop
123321
野马
1234567890
迈克尔
654321
超人
1QAZ2WSX
7777777
121212
0
qazwsx
123QWE
杀手
Trustno1
约旦
詹妮弗
ZXCVBNM
asdfgh
猎人
克星
足球
哈雷
蝙蝠侠
安德鲁
蒂格
阳光
我爱你
2000
查理
罗伯特
托马斯
曲棍球
游侠
丹尼尔
星球大战
克拉斯特
112233
乔治
计算机
米歇尔
杰西卡
胡椒
1111
ZXCVBN
555555
11111111
131313
自由
777777
经过
劣质煤
159753
AAAAAA
生姜
公主
约书亚
起司
阿曼达
夏天

阿什利
妮可
切尔西
咬我
马修
使用权
洋基
987654321
达拉斯
奥斯丁

泰勒
矩阵
动员们
妈妈
监视器
监视
蒙大拿
月亮
莫斯科
丹尼尔

步骤7:开始攻击

点击开始攻击。一个新的入侵者攻击窗口打开。在这里,您可以实时查看入侵者的请求。

步骤8:分析结果

您可以通过任何列对攻击的结果进行排序,并通过单击筛选酒吧。这可以帮助您发现响应和结果模式之间的差异。

在我们的示例中,您可以看到维纳彼得是唯一返回A的人302状态代码。

分析攻击结果

如果您检查对此登录的响应,则可以看到服务器发送了一个新的会话cookie。这可能表明登录成功。

笔记

随后的登录尝试会收到400个错误响应,因为原始CSRF令牌每个请求中包含在新的会话ID中。

除了分类结果外,您还可以在选项标签结果匹配的文本模式或提取与模式匹配的文本。

步骤9:确认您的结果

在浏览器中,返回登录页面并使用凭据登录维纳:彼得为了确认您已成功确定了一组有效的登录凭据。

概括

恭喜,您已经学会了配置干草叉攻击并使用入侵者攻击窗口分析结果。

接下来是什么?

在野外,您可能会遇到其他防御措施,例如限制费率,这会使这样的攻击更加困难。为什么不查看我们的其余部分网络安全学院基于身份验证的材料beplay体育能用吗了解更多?