[SOLUCIONADO] Bruteforce a la página de login de DVWA con OWASP ZAP

Iniciado por jmgarciag, Octubre 26, 2018, 02:40:48 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 26, 2018, 02:40:48 PM Ultima modificación: Octubre 29, 2018, 03:14:49 PM por blackdrake
Buenos días!

He intentado hacer bruteforce a la página de login de DVWA con ZAP sin éxito. Tengo configurado ya el detector de antiCSRF token y lo inyecta de manera correcta en las peticiones POST al igual que los datos del diccionario en los campos de usuario y password, sinembargo la página solo me responde con un 302 Found:

Código: php
HTTP/1.1 302 Found
Date: Fri, 26 Oct 2018 16:33:00 GMT
Server: Apache/2.4.18 (Ubuntu)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: login.php
Content-Length: 0
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8


Si reenvío cualquiera de las peticiones lanzadas por el fuzzer usando el editor manual de peticiones del mismo ZAP la página responde de manera correcta.

Se que hay otras maneras de hacerlo con Burp o incluso con CURL pero quiero aprender a hacerlo en ZAP.

Gracias
"El mayor enemigo del conocimiento no es la ignorancia, sino la ilusión de conocimiento"
Octubre 26, 2018, 03:43:55 PM #1
Los códigos 3xx:

Son códigos de redirección usados en el protocolo HTTP para indicar un re-direccionamiento con o sin intervención del agente que se conecta en el servidor que esta haciendo la petición.

Por lo tanto este codigo de respuesta no es un error, posiblemente te este redirigiendo, prueba con otra herramienta o hazlo manualmente desde el navegador para ver si ocurre el problema y lo puedas ver mas cómodo.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF
Octubre 26, 2018, 06:04:01 PM #2
Hola

Como lo comentaba si hago el consumo de manera manual ya sea en el navegador o en el editor manual de peticiones de ZAP la aplicación responde adecuadamente:

Con el fuzzer
POST
Código: php
POST http://192.168.1.78/dvwa/login.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-MX,es;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.1.78/dvwa/login.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
Connection: keep-alive
Cookie: security=low; PHPSESSID=ikgnuut9dkqs018luapp16tno0
Upgrade-Insecure-Requests: 1
Host: 192.168.1.78

username=admin&password=1111111&Login=Login&user_token=115817d147e92fd325baee9415221d26


RESPUESTA
Código: php
HTTP/1.1 302 Found
Date: Fri, 26 Oct 2018 16:33:00 GMT
Server: Apache/2.4.18 (Ubuntu)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: login.php
Content-Length: 0
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8


SI lo hago con el editor manual de ZAP
POST
Código: php
POST http://192.168.1.78/dvwa/login.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-MX,es;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.1.78/dvwa/login.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
Connection: keep-alive
Cookie: security=low; PHPSESSID=ikgnuut9dkqs018luapp16tno0
Upgrade-Insecure-Requests: 1
Host: 192.168.1.78

username=admin&password=1111111&Login=Login&user_token=115817d147e92fd325baee9415221d26


Respuesta
Código: php
HTTP/1.1 200 OK
Date: Fri, 26 Oct 2018 21:01:36 GMT
Server: Apache/2.4.18 (Ubuntu)
Expires: Tue, 23 Jun 2009 12:00:00 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 1573
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html;charset=utf-8


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

	<head>

		<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />

		<title>Login :: Damn Vulnerable Web Application (DVWA) v1.10 *Development*</title>

		<link rel="stylesheet" type="text/css" href="dvwa/css/login.css" />

	</head>

	<body>

	<div id="wrapper">

	<div id="header">

	<br />

	<p><img src="dvwa/images/login_logo.png" /></p>

	<br />

	</div> <!--<div id="header">-->

	<div id="content">

	<form action="login.php" method="post">

	<fieldset>

			<label for="user">Username</label> <input type="text" class="loginInput" size="20" name="username"><br />


			<label for="pass">Password</label> <input type="password" class="loginInput" AUTOCOMPLETE="off" size="20" name="password"><br />

			<br />

			<p class="submit"><input type="submit" value="Login" name="Login"></p>

	</fieldset>

	<input type='hidden' name='user_token' value='46e5da0146b5883fa304c2dd5d0ccb5a' />

	</form>

	<br />

	<div class="message">CSRF token is incorrect</div>

	<br />
	<br />
	<br />
	<br />
	<br />
	<br />
	<br />
	<br />

	<!-- <img src="dvwa/images/RandomStorm.png" /> -->
	</div > <!--<div id="content">-->

	<div id="footer">

	<p><a href="http://www.dvwa.co.uk/" target="_blank">Damn Vulnerable Web Application (DVWA)</a></p>

	</div> <!--<div id="footer"> -->

	</div> <!--<div id="wrapper"> -->

	</body>

</html>


Gracias por sus respuestas
"El mayor enemigo del conocimiento no es la ignorancia, sino la ilusión de conocimiento"
Octubre 26, 2018, 07:51:58 PM #3
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Le funciono correctamente?
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF
Octubre 26, 2018, 09:01:11 PM #4
Hola aún no resuelvo que el ZAP está usando el token incorrecto pero la duda de arriba queda resuelta. Sólo tenía que prender la opción de seguir las redirecciones en la pantalla de fuzz de ZAP.

Gracias
"El mayor enemigo del conocimiento no es la ignorancia, sino la ilusión de conocimiento"
Octubre 26, 2018, 11:48:22 PM #5
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo has probado sin el token?.

O

Has usado otra herramienta de fuerza fruta?, se que deseas hacerlo con OWASP pero si ya has probado con otra herramienta y funciona correctamente, es porque debe haber una configuración en OWASP incorrecta.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF
Octubre 27, 2018, 02:09:19 PM #6
Hola

Por fin he conseguido hacerlo! ¿En qué sección del foro podría subir el proceso que seguí para lograrlo? Durante el tiempo que estuve investigando no encontré un writeup sobre cómo hacerlo con ZAP así que creo que aportaría algo de valor

Gracias por sus comentarios
"El mayor enemigo del conocimiento no es la ignorancia, sino la ilusión de conocimiento"
Octubre 27, 2018, 03:20:37 PM #7
Puedes hacerlo en la sección de hacking.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF
Imprimir
Ir Arriba Páginas1
Acciones del Usuario