Underc0de

Buenos días!

He intentado hacer bruteforce a la página de login de DVWA con ZAP sin éxito. Tengo configurado ya el detector de antiCSRF token y lo inyecta de manera correcta en las peticiones POST al igual que los datos del diccionario en los campos de usuario y password, sinembargo la página solo me responde con un 302 Found:

HTTP/1.1 302 Found
Date: Fri, 26 Oct 2018 16:33:00 GMT
Server: Apache/2.4.18 (Ubuntu)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: login.php
Content-Length: 0
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

Si reenvío cualquiera de las peticiones lanzadas por el fuzzer usando el editor manual de peticiones del mismo ZAP la página responde de manera correcta.

Se que hay otras maneras de hacerlo con Burp o incluso con CURL pero quiero aprender a hacerlo en ZAP.

Gracias

Los códigos 3xx:

Son códigos de redirección usados en el protocolo HTTP para indicar un re-direccionamiento con o sin intervención del agente que se conecta en el servidor que esta haciendo la petición.

Por lo tanto este codigo de respuesta no es un error, posiblemente te este redirigiendo, prueba con otra herramienta o hazlo manualmente desde el navegador para ver si ocurre el problema y lo puedas ver mas cómodo.

Hola

Como lo comentaba si hago el consumo de manera manual ya sea en el navegador o en el editor manual de peticiones de ZAP la aplicación responde adecuadamente:

Con el fuzzer
POST
POST http://192.168.1.78/dvwa/login.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-MX,es;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.1.78/dvwa/login.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
Connection: keep-alive
Cookie: security=low; PHPSESSID=ikgnuut9dkqs018luapp16tno0
Upgrade-Insecure-Requests: 1
Host: 192.168.1.78

username=admin&password=1111111&Login=Login&user_token=115817d147e92fd325baee9415221d26

RESPUESTA
HTTP/1.1 302 Found
Date: Fri, 26 Oct 2018 16:33:00 GMT
Server: Apache/2.4.18 (Ubuntu)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: login.php
Content-Length: 0
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

SI lo hago con el editor manual de ZAP
POST
POST http://192.168.1.78/dvwa/login.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-MX,es;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.1.78/dvwa/login.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
Connection: keep-alive
Cookie: security=low; PHPSESSID=ikgnuut9dkqs018luapp16tno0
Upgrade-Insecure-Requests: 1
Host: 192.168.1.78

username=admin&password=1111111&Login=Login&user_token=115817d147e92fd325baee9415221d26

Respuesta
HTTP/1.1 200 OK
Date: Fri, 26 Oct 2018 21:01:36 GMT
Server: Apache/2.4.18 (Ubuntu)
Expires: Tue, 23 Jun 2009 12:00:00 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 1573
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html;charset=utf-8


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />

<title>Login :: Damn Vulnerable Web Application (DVWA) v1.10 *Development*</title>

<link rel="stylesheet" type="text/css" href="dvwa/css/login.css" />

</head>

<body>

<div id="wrapper">

<div id="header">

<br />

<p><img src="dvwa/images/login_logo.png" /></p>

<br />

</div> <!--<div id="header">-->

<div id="content">

<form action="login.php" method="post">

<fieldset>

<label for="user">Username</label> <input type="text" class="loginInput" size="20" name="username"><br />


<label for="pass">Password</label> <input type="password" class="loginInput" AUTOCOMPLETE="off" size="20" name="password"><br />

<br />

<p class="submit"><input type="submit" value="Login" name="Login"></p>

</fieldset>

<input type='hidden' name='user_token' value='46e5da0146b5883fa304c2dd5d0ccb5a' />

</form>

<br />

<div class="message">CSRF token is incorrect</div>

<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />

<!-- <img src="dvwa/images/RandomStorm.png" /> -->
</div > <!--<div id="content">-->

<div id="footer">

<p><a href="http://www.dvwa.co.uk/" target="_blank">Damn Vulnerable Web Application (DVWA)</a></p>

</div> <!--<div id="footer"> -->

</div> <!--<div id="wrapper"> -->

</body>

</html>

Gracias por sus respuestas

@jmgarciag (https://underc0de.org/foro/index.php?action=profile;u=90743)

Le funciono correctamente?

Hola aún no resuelvo que el ZAP está usando el token incorrecto pero la duda de arriba queda resuelta. Sólo tenía que prender la opción de seguir las redirecciones en la pantalla de fuzz de ZAP.

Gracias

@jmgarciag (https://underc0de.org/foro/index.php?action=profile;u=90743)

Lo has probado sin el token?.

O

Has usado otra herramienta de fuerza fruta?, se que deseas hacerlo con OWASP pero si ya has probado con otra herramienta y funciona correctamente, es porque debe haber una configuración en OWASP incorrecta.

Hola

Por fin he conseguido hacerlo! ¿En qué sección del foro podría subir el proceso que seguí para lograrlo? Durante el tiempo que estuve investigando no encontré un writeup sobre cómo hacerlo con ZAP así que creo que aportaría algo de valor

Gracias por sus comentarios

Puedes hacerlo en la sección de hacking.