Selamın Aleyküm.
Bu Konuda Burp Suite Aracı İle Hedef Sitede ki Login Sayfasına Nasıl Brute Force Saldırısı Yapacağımıza Bakacağız.
Hedefimiz DVWA
------------------------------------------------------------------------------
Burp Suite Ayarlamalarını vs. Yaptığınızı Varsayıyorum.
İlk Olarak Hedef Sayfamıza Gidelim
Burp Suite Aracımıza Geçelim
Intercept Özelliğimiz Açık Şekilde Login Bilgilerini Girip İşlemi Yakalayalım.
Şimdi Şöyle Düşünüyoruz.
Mantıklı ve Sonuç Odaklı Bir Brute Force Saldırısında Kullanıcı Adı Bellidir.
DVWA Sitesinde Kullanıcı Adı "admin" olarak ayarlı.
Burada Kullanıcı Adı kısmına admin yazacağız ancak şifreyi bilmediğimizi varsayıyoruz. Normalde şifre "password"
Şifreyi tamamen sallayarak gireceğiz.
Hadi Yapalım
Evet Giden İsteği Yakaladık.
Sağ Tık Yapıp "Send to Intruder" Diyoruz.
Intruder Kısmında "password=" karşısında ki değer bizim login ekranında girdiğimiz şifre.
onu seçerek Sağ Taraftan "Add" diyerek şifremizi işaretliyoruz.
Attack type kısmında Sniper Seçmemizin Sebebi
Bizim Zaten Belli bir kullanıcı adımız var. Bu Kullanıcı Adına Farklı Şifre Denemeleri Yapacağız. O yüzden Sniper Methodu bize uygun.
Ancak Siz Hem Kullanıcı Hemde Şifre Denemesi Yaptırmak ve Her Kullanıcı adına farklı şifre denetmek istiyosanız "Cluster Bomb" Yöntemini Seçin.
Şimdi Payloads Kısmına Geçelim
Burada Payload settings Kısmında Denenmesini istediğimiz şifre değerlerini giriyoruz. İsterseniz Tek Tek Girin İsterseniz Load Kısmında txt şifrelerin yazılı olduğu dosyayı kullanın size kalmış.
Bu Hedef İçin Doğru Şifre "password" değeri. Hadi Başlayalım
Start attack diyoruz
Şimdi Burada Dikkat Etmemiz Gereken Yerleri İşaretledim.
-Status Code
-Length Değeri
Status Code Kısmının 200 olması şifre denemelerinin başarılı olduğu anlamına gelir.
Hata Durum Kodlarını Alırsanız Hedefte Brute Force Saldırılarına Karşı Korumalı Olduğunu Bilin. Tabi Burada Denenen Şifre Sayısı Önemli.
Bazı Siteler 5 Denemede Engeller Bazıları 10-20
Engellemiyorsa Zaten Brute Forca Karşı Zayıftır Site...
Şifremizin Doğru Olduğunu
Length Değerine bakarak anlayabiliriz.
Diğer Deneme Değerleri 5000
"password" değerinin Değeri 5044
birde "thtbyfelez" değeri de diğerlerinden farklı.. Bu Durum çok nadir karşınıza çıkar Gerçek hedeflerde dahi.
Bu Durumda Denersiniz Giriş Yapan Şifre Hesabın Şifresidir.
Zaten böyle bi durum olursa length değeri diğerlerinden farklı olan en fazla 4-5 değer olacaktır.
Denemeniz size zaman kaybı yaşatmaz yani...
İyi Okumalar.
Bu Konuda Burp Suite Aracı İle Hedef Sitede ki Login Sayfasına Nasıl Brute Force Saldırısı Yapacağımıza Bakacağız.
Hedefimiz DVWA
------------------------------------------------------------------------------
Burp Suite Ayarlamalarını vs. Yaptığınızı Varsayıyorum.
İlk Olarak Hedef Sayfamıza Gidelim
Burp Suite Aracımıza Geçelim
Intercept Özelliğimiz Açık Şekilde Login Bilgilerini Girip İşlemi Yakalayalım.
Şimdi Şöyle Düşünüyoruz.
Mantıklı ve Sonuç Odaklı Bir Brute Force Saldırısında Kullanıcı Adı Bellidir.
DVWA Sitesinde Kullanıcı Adı "admin" olarak ayarlı.
Burada Kullanıcı Adı kısmına admin yazacağız ancak şifreyi bilmediğimizi varsayıyoruz. Normalde şifre "password"
Şifreyi tamamen sallayarak gireceğiz.
Hadi Yapalım
Evet Giden İsteği Yakaladık.
Sağ Tık Yapıp "Send to Intruder" Diyoruz.
Intruder Kısmında "password=" karşısında ki değer bizim login ekranında girdiğimiz şifre.
onu seçerek Sağ Taraftan "Add" diyerek şifremizi işaretliyoruz.
Attack type kısmında Sniper Seçmemizin Sebebi
Bizim Zaten Belli bir kullanıcı adımız var. Bu Kullanıcı Adına Farklı Şifre Denemeleri Yapacağız. O yüzden Sniper Methodu bize uygun.
Ancak Siz Hem Kullanıcı Hemde Şifre Denemesi Yaptırmak ve Her Kullanıcı adına farklı şifre denetmek istiyosanız "Cluster Bomb" Yöntemini Seçin.
Şimdi Payloads Kısmına Geçelim
Burada Payload settings Kısmında Denenmesini istediğimiz şifre değerlerini giriyoruz. İsterseniz Tek Tek Girin İsterseniz Load Kısmında txt şifrelerin yazılı olduğu dosyayı kullanın size kalmış.
Bu Hedef İçin Doğru Şifre "password" değeri. Hadi Başlayalım
Start attack diyoruz
Şimdi Burada Dikkat Etmemiz Gereken Yerleri İşaretledim.
-Status Code
-Length Değeri
Status Code Kısmının 200 olması şifre denemelerinin başarılı olduğu anlamına gelir.
Hata Durum Kodlarını Alırsanız Hedefte Brute Force Saldırılarına Karşı Korumalı Olduğunu Bilin. Tabi Burada Denenen Şifre Sayısı Önemli.
Bazı Siteler 5 Denemede Engeller Bazıları 10-20
Engellemiyorsa Zaten Brute Forca Karşı Zayıftır Site...
Şifremizin Doğru Olduğunu
Length Değerine bakarak anlayabiliriz.
Diğer Deneme Değerleri 5000
"password" değerinin Değeri 5044
birde "thtbyfelez" değeri de diğerlerinden farklı.. Bu Durum çok nadir karşınıza çıkar Gerçek hedeflerde dahi.
Bu Durumda Denersiniz Giriş Yapan Şifre Hesabın Şifresidir.
Zaten böyle bi durum olursa length değeri diğerlerinden farklı olan en fazla 4-5 değer olacaktır.
Denemeniz size zaman kaybı yaşatmaz yani...
İyi Okumalar.