Brute Force için kullanacağımız tool burada Burp Suite olacak. Hydra, Medusa gibi toolarıda kullanabilirsiniz.
Uygulamada oturum açmak için kullanıcıdan kullanıcı adı ve parola bilgisi beklenmektedir.
Bu ekrana yanlış bir bilgi girildiğinde hata mesajı ile karşılaşılmakta olduğu ve erişim bilgilerinin URL üzerinden taşındığı görülmektedir.
URL bilgisi aşağıdaki gibidir.
http://127.0.0.1/dvwa/vulnerabilities/brute/?username=deneme&password=parola123&Login=Login#
Ayrıca hata alındığında gelen hata mesajı aşağıdaki gibidir.
Username and/or password incorrect.
Görüldüğü gibi paket içerisindeki veriler geldi. Sent to intruder diyoruz. (Burada forward demeden önce bu adımı yapıyoruz. Forward dedikten sonra paketi yollamış oluruz.)
Ardından Intruder > Positions sekmesine geliyoruz. Burada değişkenlerimizi tanıtacağız ve saldırı türümüzü seçeceğiz.
Intruder-Position sekmesine gelindiğinde tüm değişkenlerin kaba kuvvet saldırısı için seçildiği görülecektir.
Sadece “username” ve “password” alanlarına karşılık gelen değerlere kaba kuvvet saldırısı yapılacağı için önce “Clear” butonuna tıklanır, sonra da ilgili 2 değer (“admin” ve “deneme”) seçilerek “Add” butonuna tıklanır.
Deneme sonucu gelen bilgimizdeki username ve password verilerini seçerek Add diyoruz ve değişken olarak atılıyor. Attack type olarak da Cluster bomb şeçiyoruz. Yani son olarak şu şekilde olmalı;
Şimdi denenecek kelimeleri belirlememiz gerek. Bunun için bazı parametreleri girdim. Siz isterseniz wordlist kullanabilirsiniz.
Burada payload 1 username’i temsil ediyorken payload 2 password’u temsil ediyor. Payload set kısmından bunlar arasında geçiş yapabilirsiniz.
Gelen hatamızı programa tanıtmak için Options > Grep Match kısmına incorrect ifadesini de ekliyoruz. (Parolayı hatalı girdiğimizde site bize inccorrect hatası vermişti. Buradan eğer vermezse login olduğumuzu anlayabiliriz. Bu belki de binlerce deneme içerisinde bizim kolay bulmamızı sağlayacak)
Son adım olarak start diyoruz, yeni bir sekme açılıyor oradan canlı olarak takip edebiliyoruz.
Login olduğu andaki username ve parola görülüyor. admin ve password. Bakalım doğru mu?
Not: Orta zorluk seviyesindeki Brute Force açıklığı ile yanlış denemelerden sonra belli bir süre boyunca (2 saniye gibi) “sleep(2)” gibi bir komut sayesinde uygulama beklemektedir. Saldırının yavaşlaması haricinde saldırı benzer şekilde gerçekleştirilebilir.
About the Author
