卡洛斯
根
行政
测试
来宾
信息
am
mysql
维纳
用户
行政人员
Oracle
ftp
pi
木偶
Ansible
EC2-用户
流浪汉
Azureuser
Academico
Acceso
使用权
会计
帐户
酸
Activestat
广告
亚当
adkit
行政
行政管理
行政部门
行政人员
管理员
管理员
广告
adserver
ADSL
Ae
AF
会员
会员
Afiliados
Ag
议程
代理人
AI
AIX
阿贾克斯
AK
akamai
al
阿拉巴马州
阿拉斯加州
阿尔伯克基
警报
α
Alterwind
是
阿马里洛
美洲
一个
阿纳海姆
分析仪
宣布
公告
防病毒软件
AO
AP
apache
阿波罗
应用程序
App01
App1
苹果
应用
申请
应用
应用程序
aq
ar
阿奇
弧度
阿根廷
亚利桑那
阿肯色州
阿灵顿
作为
AS400
亚洲
asterix
在
雅典娜
亚特兰大
地图集
att
au
拍卖
奥斯丁
auth
汽车
自动发现
专业的社区
使用Burp入侵者干草叉攻击的资格填充
最近更新时间:2022年4月6日
阅读时间:4分钟
打击者提供许多不同的攻击类型,这些类型确定了将有效载荷注入定义的有效负载位置的方式。
这干草叉攻击类型在攻击要求您在同一请求中从不同列表中发送特定有效载荷组合的情况下,很有用。
在本教程中,您将学习:
- 干草叉攻击的工作方式
- 如何使用两组有效载荷配置基本的干草叉攻击
- 如何执行凭证填充攻击
什么是凭证填充?
凭证填充是一种蛮力攻击的一种形式,攻击者试图使用已知的字典登录到站点用户名密码
来自一个或多个其他站点的成对。这些凭据集通常是通过早期数据泄露获得的。
干草叉攻击是此目的的理想选择,因为您可以确保每个用户名都使用其匹配密码发送。从下面的示例中可以看到,每个有效负载列表中的第一项将一起发送,然后是每个列表中的第二个项目,依此类推。
您将在下面的教程中执行这样的攻击。
笔记
Burp的浏览器是代理HTTP流量的一种简单方法 - 即使是加密的HTTPS协议也是如此。无需设置 - 只需转到代理人选项卡,单击打开浏览器,并确保拦截是关闭的。
步骤1:打开实验室
使用Burp的浏览器,访问以下实验室:
https://beplay官网可以赌portsbeplay体育能用吗wigger.net/web-security/logic-flaws/examples/lab-lab-logic-flaws-excessive-trust-trust-in-client-side-controls
笔记
尽管该实验室并非打算演示此攻击,但它确实具有简单的登录表单,我们可以将其用作示例。
步骤2:发送登录请求到Burp Intruder
在实验室中,单击我的帐户链接以打开登录页面。使用任何任意值提交登录表单。
在Burp Suite中,去代理> HTTP历史记录标签。找出发布 /登录
请求和发送给打击者。
步骤3:选择攻击类型
在位置子标签,使用攻击类型下拉菜单要选择叉。
步骤4:配置有效载荷位置
单击入侵者标签并随您的请求转到子标签。
在入侵者>位置子标签。这显示了请求,并带有§标记会自动插入Burp所确定的所有插入点。这可能包括您不想用有效载荷替换的cookie之类的东西。使用清除 §按钮清除所有这些。
在我们的示例中,我们仅替换用户名和密码。
突出显示用户名参数的值,然后单击添加 §。对密码参数做同样的事情。
步骤5:添加用户名有效载荷
去有效载荷子标签。
在标签的顶部是有效负载集选项。这使您可以在不同的有效载荷之间进行交替并配置它们。
为一个叉攻击,您需要配置与位置相同的数字有效负载集。
选择有效载荷集1,然后将候选用户名单粘贴到有效负载选项场地。
步骤6:添加密码有效载荷
选择有效载荷集2,然后将候选密码列表粘贴到有效负载选项场地。
步骤7:开始攻击
点击开始攻击。一个新的入侵者攻击窗口打开。在这里,您可以实时查看入侵者的请求。
步骤8:分析结果
您可以通过任何列对攻击的结果进行排序,并通过单击筛选酒吧。这可以帮助您发现响应和结果模式之间的差异。
在我们的示例中,您可以看到维纳
和彼得
是唯一返回A的人302
状态代码。
如果您检查对此登录的响应,则可以看到服务器发送了一个新的会话cookie。这可能表明登录成功。
笔记
随后的登录尝试会收到400个错误响应,因为原始CSRF令牌每个请求中包含在新的会话ID中。
除了分类结果外,您还可以在选项标签结果匹配的文本模式或提取与模式匹配的文本。
步骤9:确认您的结果
在浏览器中,返回登录页面并使用凭据登录维纳:彼得
为了确认您已成功确定了一组有效的登录凭据。
概括
恭喜,您已经学会了配置干草叉攻击并使用入侵者攻击窗口分析结果。
接下来是什么?
在野外,您可能会遇到其他防御措施,例如限制费率,这会使这样的攻击更加困难。为什么不查看我们的其余部分网络安全学院基于身份验证的材料beplay体育能用吗了解更多?