最近看到Brute Force Attack (Web) 影片,聽說很久了,也用了幾次burp suite,因為用來攔截封包的方法有很多,所以沒有特別的想用,看完影片時想到可以不寫程式自動化測密碼,覺得蠻不錯的,因為知道使用時會有很多問題,一直拖到今天才下定決心來測試,文章這篇說的比影片清楚,若是我的不清楚的話,可以看文章弄
Kali Linux 2020.3 預設就有安裝,但是版本比較舊,我在Windows & Kali Linux上都測試了,所以只截成功的圖和注意事項如下,因為影片不是沒有解說很清楚,三分鐘多就演示完畢,我用了快三小時,因為版本不一致,還有跳步驟,搞了很久
用預設的設定直接開啟burp suite
burp suite 啟動後,要切到proxy Options查看proxy的IP和port
Browser 連到上述位置127.0.0.1:8080,下載https憑證
在firefox的preferences的Privacy & Security 最下方的Certificates View Certificates..
Authorities import 匯入剛剛下載的憑證
理論上只要勾第一個checkbox就好,但是不想之後遇到困難,兩個我都打勾
如果沒有匯入憑證的話,就會出現下面的錯誤,一般在演示的影片或是文章,都是用http來試,但是現在很多網站都是https的,所以上面的steps還是不能省
憑證匯好了,就準備網路設定 Preferences General Network Settings,這裡設定的重點就是SSL Proxy要設定,否則試http可以,試https不行,我花了一些時間才發現兩者的差異
設定好之後,就可以開始測試,先在burp suite把proxy > intercept 的按鈕調成 intercept is off
連到登入頁後再打開狀態變成 intercept is on
打完帳號密碼後,執行登入,就會被攔截封包不送出,在Proxy > Intercept Raw可以看到封包的內容,全選按mouse right send to intruder或是Ctrl+I
切換到Intruder後Target確認連線的Host port是否正確
切換到Positions,會有一些已經被選取的資料,用$$包起來的,把不會用到的選好用Clear$移除,我們只換密碼,所以只留password的區塊
before
after
切換到Payloads ,把準備好的密碼貼上或是載入
切換到Options,結果沒得選,因為我的是Community Edition,不能選
最後教學都是說看length不一樣的就是答案了
使用burp suite除了三不五時會無法正常運作之外,不用寫程式就可以brute force Attack也不錯,只是community的版本太陽春了
留言