Los ataques de fuerza bruta consisten en intentar adivinar la contraseña de un usuario utilizando miles de combinaciones. Se utilizan junto con un diccionario, que es el archivo que contiene un listado gigantesco de contraseñas posibles.
Con el Burp interceptando, intentamos un logueo con cualquier contraseña.
Aquí está el envio de la página al servidor.
Burp nos permite alterarlo, es por eso que vamos a utilizar otras de sus herramientas para intentar loguearnos muchas veces.
Vamos a señalarle al Burp, mediante uno de los comandos que nos entrega la aplicación.
Esos dos simbolos le marcan a Burp que allí tendrá que insertar el contenido del diccionario.
Cargamos el payload. En este caso utilizaremos "seclist" pero puede ser cualquiera. Uno muy conocido es rockyou.txt.
El ataque comienza.
Si el codigo es 401, la contraseña es erronea.
Los ataques de fuerza bruta suelen demorar muchísimo, ya que cada contraseña debe ser insertada, enviada al servidor, esperar su respuesta, y loguearla en el sistema.
Si vemos el codigo 200, es que la contraseña entró.
En este caso la password del administrador es admin123 (funcionó al intento 117).
Estamos dentro.
Es importante señalar dos cosas:
En primer lugar es importante tener contraseñas fuertes, que no se encuentren en diccionarios del estilo de seclist o rockyou. "admin123" es una pésima contraseña, como tambien lo son secuencias de numeros consecutivos, alteraciones de palabras existentes. Hay que utilizar varios simbolos, numeros y letras o bien un generador de contraseñas seguras.
En segundo lugar, las aplicaciones web deben contar con protección ante muchos intentos de logueo erroneos, para evitar ataques de fuerza bruta a sus usuarios.
NOTA: Todas estas pruebas fueron realizado en la página TryHackMe, un sitio que ofrece entornos controlados para practicar pentesting..
Estos procedimientos no deben realizarse a equipos ajenos sin una previa autorización.
