*** Tidak ada yang terkandung dalam artikel ini yang dimaksudkan untuk mengajarkan atau mendorong penggunaan alat atau metodologi keamanan untuk tujuan ilegal atau tidak etis. Selalu bertindak dengan cara yang bertanggung jawab. Pastikan Anda memiliki izin tertulis dari individu yang tepat sebelum Anda menggunakan alat atau teknik apa pun yang dijelaskan di sini.
Ini adalah tutorial yang mendemonstrasikan bagaimana Anda dapat menyelesaikan serangan brute force pada DVWA (Aplikasi Web yang Sangat Rentan) dengan keamanan rendah.
Persyaratan lab
- Kali Linux
- DVWA v1.9 berjalan pada mesin terpisah
Tutorial ini mengasumsikan Anda sudah mempunyai lingkungan laboratorium yang diperlukan untuk menjalankan uji penetrasi.
Langkah 1, pengintaian.
Pertama, kita harus mengerjakan pekerjaan rumah kita dan memahami apa yang terjadi saat pengguna mengirimkan formulir. Misalnya, apakah ini permintaan GET atau POST? Kemana permintaan itu pergi? Data apa yang dikirim?
Beruntung bagi kita, Kali hadir dengan alat canggih yang disebut Burp Suite . Burp Suite adalah alat yang sangat besar, dan melakukan banyak hal yang berbeda. Untuk tujuan tutorial ini kita hanya akan fokus pada bagaimana kita bisa menggunakannya untuk serangan brute force kita.
Burp Suite akan bertindak sebagai server proxy. Pada dasarnya, ini berarti bahwa kita mengarahkan permintaan kita melalui Burp Suite - itu berada di tengah. Ini adalah deskripsi yang terlalu disederhanakan, tetapi Anda memiliki sedikit pemahaman.
HTTP request now:
Our browser -> Target server
HTTP request through a proxy:
Our browser -> Proxy server -> Target server
Dengan Burp Suite bekerja di tengah, kita dapat mencegat permintaan dari browser kita sebelum mencapai server target. Ada sejumlah alasan mengapa kita ingin melakukan ini. Dalam konteks serangan ini kita melakukannya sehingga kita dapat memeriksa permintaan HTTP.
Menyiapkan server proxy
Agar ini berfungsi, kita perlu mengarahkan browser kita ke server proxy, sehingga semua permintaan melewatinya. Jadi, ayo lakukan itu. Silakan dan buka Burp Suite.
Klik Proxy di baris atas tab, lalu pilih Opsi . Anda akan melihat alamat server proxy.
Silakan buka browser, dan kita akan mengarahkannya ke server proxy Burp Suite. Di bilah url ketik about: preferensi , ini akan membawa Anda ke halaman pengaturan. Di sebelah kiri pilih Lanjutan , dari tab di sebelah kanan pilih Jaringan . Klik Pengaturan dan masukkan alamat server proxy.
Dengan proxy kita dikonfigurasi, kita hampir siap untuk pergi. Buka halaman target ( http://target.site/dvwa/vulnerabilities/brute/ ) dan aktifkan pencegat Burp Suite.
Periksa permintaan login
Dengan interceptor diaktifkan, permintaan apa pun yang dibuat dari browser kita akan dihentikan oleh server proxy. Kemudian kita dapat memeriksa, memodifikasi, melepaskan atau meneruskan permintaan.
Tanpa memasukkan kredensial apa pun, tekan tombol login dan mari kita lihat permintaannya. Anda harus melihat ini:
Ada beberapa info penting di sini:
- Ini permintaan GET
- Paramaters login (username = & password = & Login = Login)
- cookie (security=low; PHPSESSID=ahs8eugnukjkh9auegathrbfg5)
Dengan semua info ini, kita dapat membuat ulang permintaan dan menggunakannya dalam serangan brute force kita.
Langkah 2, serangan itu.
Senjata pilihan kami adalah THC Hydra . Hydra dapat melakukan dictionary attacks dengan cepat terhadap layanan otentikasi.
Hydra memiliki banyak pilihan, untuk mempelajari lebih lanjut tentang mereka cukup ketik hydra -h di terminal untuk info dan contoh lebih lanjut.
Inilah info yang akan kami berikan kepada Hydra untuk serangan kami:
- target server
- URL path
- username
- password dictionary
- cookie
- failure message
Untuk nama pengguna, kita akan sedikit curang dan menganggap kita tahu nama penggunanya adalah admin . Anda juga dapat menggunkan dictionary nama pengguna pada Hydra, tetapi untuk saat ini, kami hanya akan fokus pada kata sandi.
Pesan kegagalan adalah respon yang kita dapatkan dari form login saat mengirimkan login yang buruk. Ini hanya string yang Hydra mencari respon HTML untuk melihat apakah login berhasil atau gagal. Misalnya, pesan yang menjadi merah di bawah formulir login setelah upaya login yang buruk adalah "Nama pengguna dan / atau kata sandi salah.".
Perintah lengkapnya akan terlihat seperti ini:
hydra 192.168.0.11 -l admin -P /usr/share/set/src/fasttrack/wordlist.txt http-get-form “dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=Low;PHPSESSID=eogppved743ckngeo0so6tnp87"
contoh:
