OWASP ZAP bruteforce por contraseña no nombre de usuario

Question

OWASP ZAP bruteforce por contraseña no nombre de usuario

#1 de gu2ru (1 votos)

0

Quiero utilizar Bruteforce en una página de inicio de sesión usando OWASP ZAP, usando dos contraseñas separadas (90 líneas) y archivos de nombre de usuario (200 líneas), con las solicitudes POST de bruteforce que se ordenarán por contraseña como:

user001:pass00
user002:pass00
....
user200:pass00
user001:pass01
user002:pass01
etc.

Fuzzing with wordlists está trabajando con ZAP pero no puedo hacer que suceda este pedido específico, ZAP está probando todas las contraseñas con cada nombre de usuario.

He intentado cambiar la opción Fuzzer: Opciones: Longitud / Ancho primero, pero eso no tiene ningún efecto.
Mi suposición es que ZAP está iterando a través de las cargas útiles por el orden en que aparecen los parámetros POST, pero no puedo editar la solicitud POST real en el Fuzzer para reordenarlos.
Además, una vez que se inicia el Fuzzer, solo puedo pausarlo o detenerlo pero no puedo reconfigurarlo.
Cualquier apreciación de esto sería apreciada.

authentication brute-force owasp zap

pregunta user1330734 05.11.2016 - 07:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication brute-force owasp zap

Kerberos: ¿Cómo podría un atacante explotar el acceso interno para invalidar los tickets de un servicio? Dispositivo de la empresa con wifi en casa

score 1 · Answer 1

tl; dr - Use ZAP para encontrar los parámetros de nombre de usuario y contraseña, y luego Hydra con el interruptor -u para los inicios de sesión de fuerza bruta, iterando a través de contraseñas en lugar de usuarios como se le pidió. p>

Detalle -

Usaría THC Hydra con el interruptor '-u'. La herramienta es muy simple y logra lo que estás viendo de forma predeterminada. Viene preinstalado en Kali, y puede instalar el paquete en la mayoría de los sistemas basados en Unix.

Desde la página de manual de Hydra, el interruptor -u "girará alrededor de los usuarios, no de las contraseñas". Esto intentará pass01 para los 200 usuarios antes de intentar pass02 para cada usuario. Aquí hay una muestra de cómo debería verse su comando:

hydra www.target-url.com http-form-post -L usernames.txt -P passwords.txt "/ path / to / login: username = ^ USUARIO ^ & contraseña = ^ PASAR ^: Inicio de sesión incorrecto" -u -V -o hydra_output.txt

Desglose: "hydra" es el nombre del programa. "www.target-url.com" es la dirección del objetivo, pero alternativamente puede usar una IP (y especificar un puerto). "Http-form-post" es el servicio que intentas atacar con fuerza bruta. "-L" y "-P" son bastante autoexplicativos, son sus nombres de usuario y contraseña de inicio de sesión.

La siguiente parte en las comillas dobles tiene 3 parámetros que puede capturar con el proxy ZAP o al ver el código fuente, y están separados por ":". Primero está la ruta, seguida de dos puntos y los parámetros de nombre de usuario y contraseña identificados por ZAP (me gusta Burp, pero ZAP hará el truco). Hydra reemplazará las cadenas "^ USER ^" y "^ PASS ^" con los valores de los archivos de usuario / paso.

Finalmente, la -u, como se dijo antes, iterará a través de los nombres de usuario, en lugar de contraseñas. "-V" le mostrará todas las conjeturas de contraseña en la salida estándar para que pueda verificar que funciona como debería, y -o emitirá las conjeturas de contraseña correctas al archivo hydra_output.txt.

Espero que esto haya ayudado. No estoy muy familiarizado con ZAP, pero la edición gratuita de Burp Suite es un producto homólogo, y Burp Intruder debería tener la funcionalidad que desea si debe usar un proxy.