Что такое Brute force и как делать проверку на эту уязвимость с помощью программы Hydra+Burp Suite

Brute force — это метод грубой силы, подбор [пароля] методом грубой силы атака, заключающаяся в поиске пароля из множества всех его возможных значений путём их полного перебора. Способ подбора паролей к компьютерной системе, в котором для получения хэшированных паролей используются автоматически генерируемые последовательности символов, т. е. перебираются их всевозможные комбинации до тех пор, пока пароль не будет подобран. При этом обычно учитывается наименьшая и наибольшая возможная длина пароля.

 

Hydra — Утилита для подбора аутентификационных данных методом грубой силы (brute force).

 

Burp Suite — это интегрированная платформа для выполнения тестов по безопасности веб-приложений. Её различные инструменты эффективно работают вместе для поддержки всего процесса тестирования, от составления карты сайта и анализа поверхности атаки приложения до поиска и эксплуатации уязвимостей безопасности.

 

Команды для работы с приложением:

 

R — Восстановить предыдущую прерванную/оборванную сессию

s — ПОРТ

l — ЛОГИН (Единичный)

L — ЛОГИН (Список)

p — ПАРОЛЬ (Единичный)

P — ПАРОЛЬ (Список)

x — Генерация паролей для брутфорса, наберите “-x -h” для помощи

o — ФАЙЛ

f — Выйти, когда пара логин/пароль подобрана

t — ЗАДАЧИ

w — ВРЕМЯ

F — Элемент, который укажет на не успешную авторизацию

H — Куки

gallery/1_t5q0o2pxye9xv6hqkxyyvq
gallery/1_diu405wdlhc2vyfi0oeb7a
gallery/1_p1-8svlzsyug4wpcorenjq
gallery/1_756rudaksmarjrmdpngevg
gallery/1_m9ioxy430cvmygva6k5hea
gallery/1_44ladi2x69syjit26qrlga
gallery/1_ildr34xv4e43u61m30mmaa
Вернуться назад

:F- в него вписать вывод при не валидных данных пользователя

:H- кука

 

7. Жмем запуск и ждем результатов

 

Хорошо бы конечно, было бы если нас система заблочит как бота пытающегося взломать, но для этого есть мы, чтоб проверить на сколько наш проект защищен от таких штук.

 

Как защитится:

1. Добавить капчу

2. Добавить двухэтапную аутентификацию

3. Ввести лимиты на поступление запросов с одного IP

 

И помните все показанное выше, сделано в целях обучения!!!

Можно применять только на своих проектах, после разрешения.

hydra- вызов утилиты

-l либо -L логин либо их список

-p либо -P пароль либо их список

-f если хотите чтоб подбор закончился при первом нужном совпадении

-V показать в реалтайме как происходит подбор, какой логин к какому паролю из предоставленных списков

через какой протокол и какую тип запроса проходит при авторизации в данном случаи протокол http и запрос post-form

саб домен, в данном случаи /index/sub/ локаторы

6. Открываем консольку и начинаем лепить запросик. Последовательность операторов может быть любой. Но я расскажу какая у меня последовательность в этом запросе:

5. Возвращаемся в Burp Suite и видим все нужные данные для формирования скрипта. Нам нужны такие типы данных с этого запроса:

- Какой тип запроса Post/Get

- Cookie пользователя

- Локаторы полей ввода и кнопки войти

В данном случаи у нас она такая. Можно взять даже часть с этого уведомления, 1 слово допустим.

Во вкладку Proxy->Intercept->Raw получим все данные переданные при попытке авторизации через браузер

4. Идем в браузер и делаем какую-то авторизацию, которая будет не валидна, так как нам надо не только взять данные, которые передаются отправке запроса, но и нам нужно какою-то увидеть уведомляху, что авторизация не прошла, для того чтоб под нее подвязать нашу утилиту Hydra, чтоб она могла понимать авторизация прошла успешно или нет.

Во вкладке Proxy->Oprions настраиваем прокси на приложуху и на браузер в котором открыли сайт, чтоб перехватить запрос который отправиться при попытке авторизоваться

И так, с инструментами ознакомились. Теперь давайте приступим к настройке всего флоу, чтоб можно было подобрать нужные нам данные.

 1. Для начала подготовим пул данных логинов(мыл) и паролей

 2. Откроем наш веб сайт, который мы проверяем в каком либо браузере

 3. Включаем Burp Suite

 

Во вкладке Proxy->Intercept включаем кнопку Intercept is on