martes, 13 de enero de 2015

[Poc] Ataque por fuerza bruta

Buenas aunque este ataque ya es demasiado viejo y existen muchos maneras de seguridad para ello, hoy en dia todavia sigue vigente, por lo cual veremos un poco sobre un ataque por fuerza bruta en una aplicacion web por metodo POST.

En criptografia, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Voy a hacer este tutorial en forma de pasos para que sea comprensible y ademas agradezco a Cesar (http://alguienenlafisi.blogspot.mx/) por sus recomendaciones.

1.- Vamos a encontrar la web a la cual le podemos realizar Ataques por fuerza bruta (seran las cuales no tengan proteccion como captcha o algun otro tipo de proteccion).

2.- Vamos a capturar los campos (en este caso por metodo POST) con el BURP SUITE (no importa si es la version gratuita que ofrece)

3.- Configuramos la pasarela (proxy) del navegador y burp suite...


En este caso yo estoy configurando la proxy del burp suite en la ip local y el puerto 2300, pero por defecto viene en el puerto 8080.


Aqui se muestra como configuramos en el navegador la proxy para que capture la peticion con el burp suite.

4.- Lo siguiente a hacer es enviar nuestra peticion a intruder de burp suite, de manera que podamos manejar a nuestro antojo los campos a vulnerar...



En este caso esta es nuestra pagina de administracion ni siquiera cuenta con captcha. Lo que haremos es con una lista configurarla de manera que arroje las peticiones con diferente contraseña o usuario, o ambos, o que intente el mismo usuario diferentes contraseñas, o varios usuarios y varias contraseñas :P.

El Ataque por fuerza bruta es bastante tardado, pero al final puede darte el resultado que deseas.



Enviamos la pagina a intruder, si te das cuenta lo que esta marcado en rojo son los campos que enviamos (aqui nos muestran las cabeceras que son enviadas en la peticion).

5.- Lo siguiente es elegir los campos que queremos que arrojen nuestra lista de usuarios o contraseñas (diccionarios) de esta manera para realizar el ataque.



En la imagen anterior podemos ver los campos seleccionados son username y password, para seleccionar el valor solo hacemos click en el boton Add$ y si queremos remover alguno hacemos click en el boton clear$.

Hay algunos tipos de ataques, el mas comun es Sniper (el cual solo permite 1 campo), pero en este caso utilizaremos battering ram el cual lanza la misma lista de palabras (diccionario) en los dos campos, en caso de que necesite lanzar dos listas de palabras diferentes en los dos campos utilizariamos cluster Bomb.

6.- Por ultimo configuraremos nuestra lista de palabras (diccionario):



Si le damos en load (Cargar...) nos cargara nuestra lista de palabras en este caso estoy utilizando la que me recomendo mi amigo Cesar (http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time).

Agregado el 28/05/2015: el burp suite en su version pro te da algunas opciones de payloads mejoradas, como es generarte los caracter usando brute forcer por ejemplo:



Lo siguiente es ir al menu intruder>Start Attack.


Por ultimo vemos cual es la respuesta que nos arroje diferente, en Status (Codigos HTTP) y en Length (Tamaño de la pagina arrojada).

En caso de que ninguna de nuestras palabras de diccionario puedan coincidir podemos usar lo que me recomendo Cesar, que seria usar CEWL (http://digi.ninja/projects/cewl.php) que esta creado en ruby, con el proposito de generar una lista de palabras (diccionario) a partir de la pagina web. Un ejemplo:



Con esto la lista seria generada, existen este tipo de ataques de fuerza bruta a diferentes servicios, tambien para ello podemos contar con otro tipo de utilidades tales como es xHydra (https://www.thc.org/thc-hydra/).



Un buen sitio que les puedo recomendar para encontrar una gran lista de contraseñas es: http://weakpass.com/

Aqui finaliza este tutorial que intenta ser un tipo de ayuda para todos, agradesco mucho a Cesar por haberme ayudado. Saludos!

No hay comentarios:

Publicar un comentario en la entrada