Task 8 [Day 3] Web Exploitation Christmas Chaos
McSkidy đang đi bộ trên hành lang và nghe thấy một tiếng động nhỏ xíu, Bíp .... Bíp .... Bíp ... khi McSkidy đến gần Phòng kỹ thuật xe trượt tuyết thì tiếng động yếu ớt càng lúc càng lớn .. BÍP .... BÍP .... Có gì đó sai rõ ràng! McSkidy chạy về phòng, mở toang cánh cửa và thấy bảng điều khiển xe trượt tuyết của ông già Noel hiện lên thông báo lỗi màu đỏ! "Xe trượt tuyết của ông già Noel! Nó đã bị hack, mã màu đỏ .. mã màu đỏ!" anh ta hét lên khi chạy trở lại trung tâm chỉ huy an ninh elf.
Bạn có thể giúp McSkidy và nhóm của anh ấy đột nhập vào Xe trượt tuyết của ông già Noel để giành lại quyền kiểm soát không?
Mục tiêu học tập
- Hiểu xác thực
- Hiểu việc sử dụng thông tin đăng nhập mặc định và lý do tại sao chúng nguy hiểm
- Bỏ qua biểu mẫu đăng nhập bằng BurpSuite
Xác thực
Xác thực là một quá trình xác minh danh tính của người dùng, thông thường bằng thông tin đăng nhập (chẳng hạn như tên người dùng, id người dùng hoặc mật khẩu); nói một cách đơn giản, xác thực liên quan đến việc kiểm tra xem ai đó thực sự là người mà họ tuyên bố. Ủy quyền (về cơ bản khác với xác thực, nhưng thường được sử dụng thay thế cho nhau) xác định những gì người dùng có thể và không thể truy cập; ủy quyền được đề cập trong hướng dẫn ngày mai, nhiệm vụ hôm nay tập trung vào xác thực và một số lỗi phổ biến.
Thông tin xác thực mặc định
Có thể bạn đã mua (hoặc tải xuống một dịch vụ / chương trình) cung cấp cho bạn một tập hợp thông tin đăng nhập khi bắt đầu và yêu cầu bạn thay đổi mật khẩu sau khi thiết lập (thường thì những thông tin đăng nhập này được cung cấp khi bắt đầu giống nhau đối với mọi thiết bị / mọi bản sao của phần mềm). Rắc rối với điều này là nếu nó không được thay đổi, kẻ tấn công có thể tra cứu (hoặc thậm chí đoán) thông tin đăng nhập.
Điều tồi tệ hơn nữa là các thiết bị này thường xuyên tiếp xúc với internet, có khả năng cho phép bất kỳ ai truy cập và điều khiển nó. Vào năm 2018, có báo cáo rằng một mạng botnet (một số thiết bị kết nối internet bị kẻ tấn công điều khiển để thường thực hiện các cuộc tấn công DDoS) có tên Mirai đã lợi dụng các thiết bị Internet of Things (IoT) bằng cách ghi nhật ký từ xa, định cấu hình thiết bị để thực hiện các cuộc tấn công độc hại tại sự kiểm soát của những kẻ tấn công; mạng botnet Mirai đã lây nhiễm hơn 600.000 thiết bị IoT chủ yếu bằng cách quét internet và sử dụng thông tin đăng nhập mặc định để có quyền truy cập.
Trên thực tế, các công ty như Starbucks và Bộ Quốc phòng Hoa Kỳ đã từng là nạn nhân của việc để các dịch vụ chạy với thông tin xác thực mặc định và những người săn lỗi đã được khen thưởng vì đã báo cáo những vấn đề rất đơn giản này một cách có trách nhiệm (Starbucks đã trả 250 đô la cho vấn đề được báo cáo):
- https://hackerone.com/reports/195163 - Starbucks, tiền thưởng lỗi cho thông tin đăng nhập mặc định.
- https://hackerone.com/reports/804548 - Bộ Quốc phòng Hoa Kỳ, quyền truy cập của quản trị viên thông qua thông tin đăng nhập mặc định.
Vào năm 2017, có báo cáo rằng 15% tất cả các thiết bị IoT vẫn sử dụng mật khẩu mặc định.
SecLists là một tập hợp các danh sách phổ biến bao gồm tên người dùng, mật khẩu, URL và nhiều hơn nữa. Danh sách mật khẩu được gọi là "rockou.txt" thường được sử dụng trong các thử thách bảo mật và chắc chắn phải là một phần trong bộ công cụ bảo mật của bạn.
Các cuộc tấn công từ điển bằng BurpSuite
Tấn công từ điển là một phương pháp đột nhập vào một hệ thống đã được xác thực bằng cách lặp lại qua một danh sách các thông tin xác thực. Nếu bạn có danh sách tên người dùng và mật khẩu mặc định (hoặc phổ biến nhất), bạn có thể lặp lại từng tên người dùng và mật khẩu với hy vọng rằng một trong các kết hợp thành công.
Bạn có thể sử dụng một số công cụ để thực hiện một cuộc tấn công từ điển, một trong số đó đáng chú ý là Hydra (một trình bẻ khóa đăng nhập mạng nhanh) và BurpSuite, một công cụ tiêu chuẩn ngành được sử dụng để kiểm tra thâm nhập ứng dụng web. Với ngày thứ 3 là về khai thác web, chúng tôi sẽ hướng dẫn bạn cách sử dụng BurpSuite để thực hiện tấn công từ điển vào biểu mẫu đăng nhập web.
Để tải xuống BurpSuite, hãy nhấp vào đây, nếu không, BurpSuite được cài đặt sẵn trên AttackBox dựa trên web của chúng tôi.
- Khởi động Burp Suite, bạn có thể thực hiện việc này trên Hộp tấn công bằng cách nhấp vào biểu tượng BurpSuite trong khay biểu tượng.
- Khi điều này đã tải xong, bạn muốn "Chặn" lưu lượng truy cập của mình bằng cách ủy thác nó thông qua BurpSuite, sau đó sẽ chuyển tiếp yêu cầu đến đích đã định (trong trường hợp của chúng tôi, đó sẽ là một trang web). Điều này sẽ cung cấp cho bạn khả năng phân tích và sửa đổi lưu lượng truy cập trình duyệt của bạn.
- Ví dụ này sử dụng AttackBox và làm cho lưu lượng truy cập proxy đến BurpSuite dễ dàng (nếu bạn đang sử dụng BurpSuite trên máy của chính mình, hãy nhấp vào đây) để xem cách ủy quyền lưu lượng truy cập tới BurpSuite). Trên AttackBox, mở Firefox, nhấp vào tiện ích mở rộng trình duyệt FoxyProxy và chọn "Burp" - thao tác này bây giờ sẽ ủy quyền lưu lượng truy cập của bạn đến BurpSuite.
- Đi tới ứng dụng BurpSuite và nhấp vào tab Proxy, sau đó nhấp vào nút "Intercept is on".
- Điều hướng đến trang web bạn đã chọn, vì bạn đang chặn lưu lượng truy cập của mình, bạn sẽ thấy BurpSuite đã giữ yêu cầu của bạn và sẽ không chuyển tiếp nó cho đến khi bạn yêu cầu. Hãy truy cập ứng dụng web của chúng tôi và gửi thông tin chi tiết của bạn vào một biểu mẫu nhất định, trong trường hợp của chúng tôi, đó là biểu mẫu đăng nhập chung.
- Yêu cầu được chụp này sẽ hiển thị trong tab Proxy. Nhấp chuột phải vào nó và nhấp vào "Gửi tới Kẻ xâm nhập"; BurpSuite có rất nhiều chức năng để lặp lại các yêu cầu sửa đổi và thao tác, Burp Intruder là một công cụ để tự động tùy chỉnh các cuộc tấn công web. Mình sẽ sử dụng kẻ xâm nhập để lặp lại và gửi yêu cầu đăng nhập bằng danh sách thông tin xác thực mặc định, với hy vọng rằng một trong những tên người dùng và mật khẩu trong danh sách là chính xác.
Vào tab Intruder, bạn sẽ thấy yêu cầu của mình. Ở đây chúng tôi sẽ chèn các "vị trí" (cho Burp biết những trường nào cần cập nhật khi tự động yêu cầu), chọn một danh sách cho mỗi vị trí và bắt đầu cuộc tấn công.- Nhấp vào tab "Vị trí" và xóa các vị trí đã chọn trước.
- Thêm giá trị tên người dùng và mật khẩu làm vị trí (đánh dấu văn bản và nhấp vào "Thêm")
- Chọn "Bom chùm" trong menu thả xuống Loại tấn công; kiểu tấn công này lặp lại lần lượt qua từng bộ trọng tải, vì vậy mọi kết hợp của mỗi bộ đều được kiểm tra.
- Chúng tôi sẽ cho mỗi "Vị trí" Tải trọng sẽ sử dụng. Trong ví dụ của chúng tôi, chúng tôi sẽ chọn danh sách tên người dùng cho trường tên người dùng và danh sách mật khẩu cho trường mật khẩu.
- Nhấp vào tab "Tải trọng", chọn nhóm Tải trọng của bạn (bộ 1 là trường tên người dùng, bộ 2 là trường mật khẩu) và thêm chọn danh sách của bạn trong phần "Tùy chọn tải trọng" (hoặc thêm mục nhập theo cách thủ công).
- Đối với bộ 1 (tên người dùng), chúng tôi sẽ thêm một vài mục nhập tên người dùng mặc định phổ biến như "admin", "root" và "user"
- Đối với bộ 2 (mật khẩu), chúng tôi sẽ thêm một vài mật khẩu mặc định phổ biến như "password", "admin" và "12345"
- Nhấp vào nút "Bắt đầu tấn công", thao tác này sẽ lặp lại qua từng danh sách vị trí trong mọi tổ hợp. Bạn có thể sắp xếp theo "Độ dài" hoặc "Trạng thái" để xác định đăng nhập thành công (thông thường tất cả các lần đăng nhập không chính xác sẽ có cùng trạng thái hoặc độ dài, nếu kết hợp đúng thì sẽ khác.
Deploy your AttackBox (the blue "Start AttackBox" button) and the tasks machine (green button on this task) if you haven't already. Once both have deployed, open Firefox on the AttackBox and copy/paste the machines IP (MACHINE_IP) into the browser search bar.
Truy cập website
Mình cấu hình burpsuit proxy để thu thập thông tin cấu trúc dữ liệu khi đăng nhập
Sau khi có được thông tin các trường login mình chuyển sang tab intruder,.
Theo ví dụ cho thông tin đăng nhập thử tấn công vét cạn. Mình liền chỉnh chế độ dùng là cluster bomb
Sau đó lấy thông tin ở dưới điền vào danh sách giá trị thử
Use BurpSuite to brute force the login form. Use the following lists for the default credentials:
| Username | Password |
|---|---|
| root | root |
| admin | password |
| user | 12345 |
Use the correct credentials to log in to the Santa Sleigh Tracker app. Don't forget to turn off Foxyproxy once BurpSuite has finished the attack!
Thu được user và pass mình truy cập website
Điền cờ thôi nào :))
What is the flag?
0 Comments