На странице
Перебор имён пользователей по едва заметным различиям в ответах
Лаборатория
Username enumeration via subtly different responses · Apprentice
Решение
Дано
This lab is subtly vulnerable to username enumeration and password brute-force attacks. It has an account with a predictable username and password, which can be found in the following wordlists:
Candidate usernames
Candidate passwords
To solve the lab, enumerate a valid username, brute-force this user's password, then access their account page.
Анализ задания
Нужно организовать брутфорс-атаку с помощью словарей имён и паролей пользователей.
Разведка
Посмотрим, как организован логин и как можно организовать брутфорс:
POST /login
username=xxx&password=123
Окей, закидываем в Intruder. Закидываем туда список логинов из лабы. Запросы разделились по размеру ответов: 3443 и более — где-то 5–6 групп. Попадается на глаза oracle — 3443 размер, его протестим первым. Хотя для удобства выпишу по 1 логину из каждой группы:
oracle - 3443
af - 3444
admin - 3445
ad - 3446
auto - 3447
root - 3460
test - 3461
guest - 3462
info - 3463
as - 3462
ajax - 3463
au - 3464
Ожидаем 302 код. Проверил пароли для oracle — все 200. Проверяем af — удача. Пароль — af.
Лаба решена.
Ещё в этой категории
Web Shell Upload через обход блек-листа расширений (PortSwigger Lab)
.php в блек-листе, но .htaccess заливается без вопросов — подсовываем свой конфиг Apache и заставляем сервер исполнять shell.bug как PHP.
Web Shell Upload через обфускацию расширения (PortSwigger Lab)
Блек-лист расширений не пускает .php, двойное расширение shell.php.jpg отдаётся как картинка — null-byte shell.php%00.jpg обходит обе проверки.
Remote Code Execution через загрузку web shell (PortSwigger Lab)
Загрузка аватарки без валидации — заливаем PHP web shell и читаем /home/carlos/secret.