1. Burp Suite Intruder _ Dictionary Attack 공격

Brup Suite의 Intruder 기능을 사용하여 관리자 페이지의 아이디와 비밀번호를 찾아보는 실습을 하였다.

관리자 페이지는 Hacker101 CTF의 PetShop Pro의 flag2를 이용하였다.

 

해당 문제의 관리자 페이지는 아래와 같고,

Username을 admin으로 입력하면 아래와 같이 잘못된 username이라는 메세지가 출력된다.

아마 Username을 알아낸 후, Password를 따로 알아내면 될 것이다.

 

 

Burp Suite의 Intruder을 활용하여 Username과 Password를 찾아보자.

우선, Username과 Password 값을 전송하는 Request 패킷을 Send to Intruder 한다.

 

 

Username의 값을 찾기 위해 payload position을 아래와 같이 username에 설정해준다.

 

 

username과 password의 페이로드 집합이 필요하므로 wordlist를 다운받아 로드시켜주었다.

 

 

그리고 Start attack을 눌러주면 아래와 같이 공격이 수행된다.

 

 

유효한 값은 응답 값이 다르기 때문에 Length가 다른 것을 확인하여 찾을 수 있다.

만약 Length 길이가 같은 경우에는 응답 값에 특정 문자열이 포함되어 있는지 확인하여 찾을수도 있다.

 

 

Options > Grep - Match에서 Invalid username을 추가해준 후 공격을 수행하면, 아래와 같이 지정한 값이 응답에 포함되어 있는지를 확인할 수 있다.

 

 

유효한 username의 값이 'mona'이기 때문에 Invalid username에 체크되어 있지 않다.

password도 동일한 방법으로 찾을 수 있다.

 

---

wordlist를 이용하였기 때문에 Payload type을 Simple list로 지정하였지만,

Payload type을 Brute force나 Username generator 등으로 설정하여 활용할 수도 있다.

 

 

 

[Reference]

- portswigger.net/support/using-burp-to-brute-force-a-login-page

Using Burp to Brute Force a Login Page