credential-stuffing
凭证填充
凭证填充是将违规凭证注入到输入中,以查看我们是否可以获得访问权限。这是笔测试中发现的“最常见的漏洞”。
现实生活中的例子
[!警告]
请勿跟随,这是非法的
来自 Breach-Parse 的 Tesla 凭证
您可以使用违规解析(在违规凭证注释中讨论)来获取违规凭证列表。 Breach-parse 返回的结果分为三个文件:所有内容的主列表、密码列表和用户名列表。
狐狸代理
Foxy Proxy 是一个浏览器插件,可以轻松使用 proxy 等工具
Burp Suite。
快速设置:
- 安装标准版本作为 Firefox 扩展
2.固定到工具栏 - 单击图标 –> 选项
Title: ‘打嗝’Proxy Type:HTTP
6.Proxy IP address:127.0.0.1
7.Port:8080- 保存
现在,您可以通过扩展工具栏图标打开或关闭此代理。
打嗝套件
使用 Burp 测试新代理。确保拦截已打开并且您的代理设置设置为 127.0.0.1:8080。刷新浏览器页面后,您应该在 burp suite 的 Proxy 选项卡中看到输出。
特斯拉登录页面
现在代理已打开,找到 tesla domain 的登录页面。找到端点后,确保拦截已打开,在表单中输入虚假凭据。然后点击sign in。
打开拦截后,您应该在 Burp Suite 中看到输出。 Burp 已捕获 http 流量,将其暂停,并允许您像调试器一样单步执行请求和响应。
右键单击输出并选择 send to intruder。
入侵者选项卡
将使用代理捕获的 HTTP 数据发送给入侵者选项卡后,请转到入侵者选项卡。打开 Positions 子选项卡,然后单击 Clear $ 这将消除 Burp Suite 自动建议的位置…
当我们点击登录按钮时,我们向特斯拉提出请求,这些位置是我们可能会插入有效负载的位置。
找到请求中的用户和密码字段:
它们可能看起来像这样:
1 | &user=userteststring ... |
单独突出显示字符串值(您在表单中输入的字符串值),然后单击右侧的 Add §。这告诉 Burp Suite 这是您想要注入有效负载的地方。
攻击类型
由于我们同时攻击密码和用户名,因此我们希望 Attack type 为 Pitchfork 而不是默认的 Sniper (仅攻击一个参数)。
Payload 子选项卡
现在您已经在要攻击的请求中设置了参数,请转到 Payloads 子选项卡。从特斯拉用户名文本文档中复制用户名列表并将其粘贴到 Payload settings [Simple list] 表单中。从 Payload set 下拉列表中选择 2。将密码列表粘贴到此处。
Payload set 1 将攻击我们在 HTTP 请求中添加的第一个参数(应该是用户名)。
有效负载集2将攻击HTTP请求中的第二个参数(密码)。
Breach-Parse 为我们提供了一个用户名列表和一个密码列表,并且用户名*对应于密码列表中列表相同位置的密码。这意味着 Burp 将使用相应组中的第一个用户名和第一个密码来填充它制作的 HTTP 请求中的参数,以发送攻击。
攻击
[!警告]
请勿在实际网站上使用此内容
未经授权进行渗透测试是非法的
这仅用于教育目的
现在我们的参数和测试值已设置,我们可以单击 Start Attack 按钮。攻击将向您显示输出,其中包括有关测试负载和网站响应的详细信息。您可以查看使用的有效负载(用户名和密码)、返回的 HTTP 状态(例如:200 OK)、任何错误或超时、响应的长度等。
打印时,注意状态代码和长度的变化。较大的响应长度可以表明其中一个有效负载有效和/或我们收到了不同于我们期望的标准是/否类型的响应(可能有更多泄露的信息发现)。
额外提示:Grep 匹配
如果您暂停攻击并查看每个有效负载中的原始响应(单击有效负载即可查看)。在响应中找到一个字符串(可能是 HTML)(例如 "we could not sign you in"),将其复制,然后转到 Options 选项卡。
在此选项卡中,您可以使用复制的字符串来 grep 响应。将字符串添加到 Grep Match 形式中。重新启动攻击后,输出中将出现一个新列,告诉您该字符串是否在响应中。如果字符串类似于 "we could not sign you in",那么对于每个不起作用的有效负载,我们将看到在输出中找到该字符串。
[!资源]
[!我以前的笔记(在文本中链接)]