Uno dei metodi migliori per craccare una password per un form è utilizzare Burp Suite. In questo tutorial vi mostreremo come utilizzare un software di sicurezza informatica per bypassare le misure di login di un form. Ovviamente, tutte le nostre macchine, sono delle room ad-hoc per questi scenari.
Dopo aver scaricato Burp suite, esiste una versione gratuita e una professionale, scaricate la gratis e dopo averla installata dobbiamo settare il proxy in firefox (consigliato) e installare il certificato.
Come installare il certificato di Burp suite?
Come settare il proxy di burp suite?
Fatto questi due passi fondamentali, andiamo avanti e nel mio caso richiamo la pagina del post login per farla proxare con burp suite per gestire la richiesta HTTP POST e inviarla all’intruder per craccare la password. Per l’username il gioco mi diceva che avrei dovuto trovarmi l’utente ma guardando che la URL terminava con Account/login.aspx?ReturnURL=%2fadmin%2f ho capito che admin era probabilmente proprio questo.
A questo punto provo a intercettare una richiesta POST e visualizzarla in Burp Suite per verificare come viene creata. Intercettata la invio a Intruder dove conosco che il mio parametro unico da gestire si tratta di password e per questo lo posso modificare come vedere in basso.
Questo passaggio, fondamentale in modalità sniper prende un parametro e gli passa un dizionario nel mio caso. Arrivato a questo punto, abbiamo la richiesta http post con un parametro da dare in pasto al bruteforce per provare tutte le combinazioni del nostro dizionario. A questo punto non ci tocca che trovarci un bel dizionario. La prima idea che ho avuto, andare in google e trovarmi un dizionario delle prime 1000 password più utilizzate. Eccole qui su Github
Ecco qui in basso dove carico tutte le password tramite il modulo Load usando un file text riesco a importarle tutte senza problemi. Tutte queste password utilizeranno il parametro aggiunto prima con Add e selezionato per il bruteforce. Tramite il comando a destra Start attack, lanciamo tutte le richieste post. Attenti a fare questo contro un server reale, potrebbe creare un dos. Inoltre se non avete le autorizzazioni, non dovreste farlo, viola la legge. Qui ripetiamo si tratta di una room apposita per questo test.
La parte finale, come rinosciamo che la password ha avuto successo nel login a differenza delle altre 999? Semplice, la lunghezza/peso della nostra richiesta http sarà sempre uguale nel caso di password fallita, ma diversa se esatta. Ecco allora che con questo filtro abbiamo la risposta alla nostra domanda.
