Blog

Modificar peticiones http + Fuerza bruta al panel de login de paginas web (Parte 2 de 2)

En esta segunda parte del post vamos a ver como realizar un ataque de fuerza bruta a cualquier campo de una pagina web. En concreto vamos a hacer fuerza bruta al campo de contraseña de moodle.

Para esta prueba deberemos de arrancar nuestra herramienta BurpSuite y activar el ProxySwitchy! de nuestro navegador chrome para que las peticiones pasen por el proxy antes de salir a internet (Como hicimos en la primera parte).

Vamos a la pestaña de proxy y ponemos intercept Off para que no capture todavía ninguna peticion. Despues nos metemos en la pagina de moodle y escribimos un usuario y una contraseña. Ahora es cuando pulsamos el boton de interceptar y lo dejamos en Intercept On. En la pagina de moodle pinchamos en el boton para entrar y podremos ver como en nuestra herramienta BurpSuite en la pestaña proxy aparece la petición capturada.

burp4

Existe un modulo en la herramienta para realizar ataques de fuerza bruta además de otras cosas que se llama Intruder. Para que este modulo pueda procesar esta petición habrá que pulsar con el botón derecho encima de la petición y seleccionar “send to intruder”. Después nos vamos a la pestaña intruder y podremos ver que también la tenemos en este modulo en la pestaña positions.

Ahora habrá que seleccionar que campo de la petición es el que queremos automatizar, es decir, que campo es el que queremos ir variando en cada petición. Primero pulsamos el boton clear$ de la derecha para deseleccionar todos los campos. Despues seleccionamos el campo que queremos ir cambiando con el raton y pulsamos en la tecla add$, y veremos como ya solo este campo es el que se encuentra entre simbolos de $.

burp44

Ahora vamos a la siguiente pestaña “payloads” y rellenaremos una lista con las palabras que queramos que vayan probándose en cada petición, es decir, en nuestro caso todas las posibles contraseñas que queramos probar. Hay un campo de texto con un botón add a la izquierda, es aquí donde introducimos las palabras.

burp5

Una vez preparado el ataque vamos a las pestañas de arriba del todo y en la que pone intruder selecciona la opcion start attack.

burp6

Podemos ver en la imagen como la contraseña “pruebadeconcepto” es la correcta ya que ha devuelto un mensaje el servidor con el codigo 303 que indica que es correcta la password.

Espero que os haya gustado,
roberto@highsec.es

Leave a Reply

*

    No Twitter Messages