Burp Suite渗透实战详解(下)

#严禁将本篇所用方法用于恶意爆破他人密码

这是burpsuite渗透实战详解的下篇,上篇我们讲到了proxy的原理,并且重点介绍了invisible proxy的原理,还讲到了常用的功能,这篇我们将要讲到剩下的几个功能,包括Sequencer、Decoder、Extender、Intruder。并且我将重点演示使用Intruder功能爆破某同学的教务处登录密码。下面我们接着上篇的内容,开始介绍burpsuite。在介绍之前,重要的事说三遍,都是革命战友,所用不要利用学校信息系统的不完善去试探他人密码。

 

三、burpsuite的强大之处:(接上篇)
6、Sequencer:测试cookie的随机性如何,对随机数算法进行测试。如果随机数算法不好,容易被破解或者预判,那么攻击者就可以直接用预判的cookie直接登录,这是很可怕的。选定要测试的sessionId,或者选定输入框,然后就可以自动反复请求,根据不同的标准(一般使用FIP即美国联邦信息处理标准)进行分析判断。

7、Decoder:编码:
编码的作用 注入攻击时,webapp对用户输入会做过滤,因此多层复杂的编码是绕过的这些过滤的必要方法。

8、Extender:前面在Scanner那儿也介绍了,这里说一下我的感受就是,非必要的扩展就不要安装了,因为会使整个burpsuite的界面变得混乱,还容易造成不稳定因素,所以这个看你个人需求。下面的这个是很长用的CO2,比较推荐J2EEScan、activeScan++、Additional Scanner Checks。具体的可以看文档。

9、Intruder:翻译过来为入侵,这是我们今天的示例所要用到的功能。主要是fuzze功能:
1、开启burpsuite,进入教务处的登录页面。在用户名和密码的位置随意填入两个数字,比如123456,123456

2、在burp中查看截断的请求,人后send to Intruder

3、我们看到Intruder自动为我们把可以变化的一些量打上了§value§标签,但这些自动打上的并不是我们都需要,我们clear自动add的,然后手动添加我们需要的。

4、先说一下Attack type有四种,在我们今天的爆破场景中,可以使用第一种sniper也可以使用第四种Cluster bomb。


① Snipe这个是我们最常用的,Sniper是狙击手的意思。这个模式会使用单一的payload(就是导入字典的payload)组。它会针对每个position中§value§位置设置payload。这种攻击类型适合对常见漏洞中的请求参数单独地进行测试。攻击中的请求总数应该是position数量和payload数量的乘积。

② Battering ram – 这一模式是使用单一的payload组。它会重复payload并且一次把所有相同的payload放入指定的位置中。这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况。请求的总数是payload组中payload的总数。简单说就是一个playload字典同时应用到多个position中

③ Pitchfork – 这一模式是使用多个payload组,但是顺序一对一,对于定义的位置可以使用不同的payload组。攻击会同步迭代所有的payload组,把payload放入每个定义的位置中。比如:position中A处有a字典,B处有b字典,则a[1]将会对应b[1]进行attack处理,这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入的情况。请求的数量应该是最小的payload组中的payload数量

④ Cluster bomb – 这种模式会使用多个payload组。形象的说就是a表和b表的笛卡尔积。每个定义的位置中有不同的payload组。攻击会迭代每个payload组,每种payload组合都会被测试一遍。比如:position中A处有a字典,B处有b字典,则两个字典将会循环搭配组合进行attack处理这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。攻击请求的总数是各payload组中payload数量的乘积。

我们是针对某位同学的密码,所以使用第一种最简单,直接替换掉password就好了。

5、在payload set里面有需要的payload type供我们选择。包括最暴力的Brute forcer,还有比如比特翻转,针对ECB加密模式的爆破等等,我们针对的是6位纯数字的密码,所以选择Numbers。

如果你想批量爆一些密码的话,可以像下面那样。位置1用一个表单就可以了,不过burpsuite的效率不高,要批量爆密码建议用其他的专门用于密码爆破的工具。

6、Options里面还有性能配置选项,线程数等,最大可以到999,不过对于burpsuite来说,决定速度的还是目标网站的反馈速度,所以实际使用中这里的10和100没什么区别。但是如果目标服务器很给力,那就另当别说了

7、怎样判断密码验证成功?有几种方法,一是看返回状态,而是看length,三是添加一个comment,填入登录成功的页面比如我这个例子需要填入http://jwc.bjtu.edu.cn:82/Welcome.aspx。这样之后筛选一些就可以知道那个成功了。

8、经过10多分钟,在尝试了30000+次后,我们看到一个length比其他的都长。我们用payload当密码去教务处登一下试试。


9、使用payload登录结果进入欢迎界面,所以密码获取成功。我想采用6位纯数字弱密码的同学看到这个,很会很吃惊吧,所用快去更换带有字母字符的密码吧。

 

四、summary 总结:

我们通过burp的使用和介绍,发现burpsuite的截断代理功能十分强大,其他的功能我们在平常web渗透时遇到的场景几乎全部包含。同时,我们也发现,纯数字的弱密码真的不能再弱啊,理论上遍历所有的6位数,也只需要100万次,就算不用其他专门用于密码破解的高性能工具,仅仅是burpsuite,如果用2台机器,对遍历的密码分段后,也可以在5个小时遍历完,如果我们使用类似cupp这样的专属密码字典生成工具,针对你个人生成一个带上你个人特征的密码字典,那样安全情况将更糟糕,也许运气好只需要两三分钟而已。这提醒我们不要使用弱密码。

#严禁将本篇所用方法用于恶意爆破他人密码

1 thought on “Burp Suite渗透实战详解(下)

  1. Pingback攻击验证机制 – findys

发表评论

电子邮件地址不会被公开。 必填项已用*标注