爆破是滲透測(cè)試中必不可少的一部分帆阳,對(duì)于沒(méi)有太大價(jià)值可利用的漏洞或是業(yè)務(wù)只有一個(gè)登陸頁(yè)面時(shí)购岗,爆破更是我們的最合適的選擇趟大。那么在爆破時(shí),拋去目標(biāo)系統(tǒng)對(duì)爆破頻率的限制赴背,如果遇到較為復(fù)雜的密碼椰拒,該如何順利進(jìn)行密碼破解?
以tomcat為例凰荚,首先大家可以先想一想燃观,tomcat后臺(tái)在提交認(rèn)證信息時(shí),數(shù)據(jù)是以何種方式傳輸浇揩,是明文嘛仪壮?還是某種加密?還是編碼胳徽?具體的認(rèn)證請(qǐng)求包如下所示:
這邊的Authorization字段就是用來(lái)做身份認(rèn)證的积锅,使用的是HTTP Basic認(rèn)證,用戶(hù)認(rèn)證信息就是后面那一串养盗,把他復(fù)制到BurpSuite的Decoder模塊缚陷,使用Base64解碼即可獲取用戶(hù)認(rèn)證信息明文。那么之前的問(wèn)題也有答案了往核,tomcat使用base64編碼進(jìn)行認(rèn)證信息傳輸箫爷,使用的是HTTP Basic認(rèn)證方式。
知道用戶(hù)認(rèn)證信息提交方式之后聂儒,我們可以把抓到的包發(fā)送到Intruder中進(jìn)行爆破準(zhǔn)備虎锚,但是有一點(diǎn)問(wèn)題,我們?cè)诒颇繕?biāo)測(cè)試系統(tǒng)的賬戶(hù)的時(shí)候衩婚,賬號(hào)和密碼往往是分離的窜护,那這樣其實(shí)兜了好幾圈,不太好直接爆破非春。當(dāng)然有人覺(jué)得可以用腳本先拼接所有格用戶(hù)名和密碼再進(jìn)行編碼組成一個(gè)新的字典柱徙,不是不行,但是這破壞了原有的單純的密碼字典的內(nèi)容奇昙,使這個(gè)密碼字典變成了只有tomcat可以用护侮,而且每次有新的密碼字典和用戶(hù)名字典想要加入時(shí),都必須經(jīng)過(guò)處理储耐,這樣其實(shí)就事倍功半了羊初。
Burpsuite的intruder模塊其實(shí)包含了很多復(fù)雜密碼的變異方式。知道了tomcat的密碼格式弧岳,我們下拉intruder模塊中的payload標(biāo)簽頁(yè)的payload type:
選擇custome iterator凳忙,就可以進(jìn)行我們的自定義拼接业踏,position的位置就是我們的拼接方式,那么根據(jù)tomcat密碼的格式涧卵,我們可以很輕松的聯(lián)想出如何進(jìn)行拼接勤家,第一位(position1)密碼:
第二位(position2)密碼:
第三位(position3)密碼:
拼接完成后,還需要進(jìn)行編碼柳恐。在burpsuite中伐脖,對(duì)字典進(jìn)行加密或編碼處理,在payload標(biāo)簽頁(yè)中的payload processing進(jìn)行乐设,當(dāng)然首要你要清楚你的進(jìn)行什么樣的處理讼庇,到底是加密還是編碼:
選擇完成后,就是這樣:
再記得把請(qǐng)求包特殊符號(hào)編碼去掉=號(hào)(因?yàn)閎ase64編碼大概率會(huì)有=)
這樣確認(rèn)之后近尚,直接start attack即可蠕啄。
可以嘗試再decoder中解密這個(gè)字符串:
這篇文章只是拿tomcat的特殊密碼格式舉例,burpsuite里還有很多其他格式戈锻,需要大家自己去多去聯(lián)系歼跟,孰能生效,才能事半功倍格遭。
BTW哈街,安全測(cè)試課的同學(xué)可以通過(guò)學(xué)習(xí)的網(wǎng)絡(luò)空間搜索引擎課程來(lái)進(jìn)行tomcat爆破的合法實(shí)戰(zhàn)
作 者:Testfan Covan
出 處:微信公眾號(hào):自動(dòng)化軟件測(cè)試平臺(tái)
版權(quán)說(shuō)明:歡迎轉(zhuǎn)載,但必須注明出處拒迅,并在文章頁(yè)面明顯位置給出文章鏈接
骚秦。