Автоматизируем многоходовые атаки



Download 1,36 Mb.
Pdf ko'rish
bet5/7
Sana26.10.2022
Hajmi1,36 Mb.
#856562
1   2   3   4   5   6   7
Bog'liq
Шаг за шагом


§
mfa-code
mfa-code=§1337§
11. Для того что бы шаги нашей пос ледова тель нос ти из модуля Stepper выпол- 
нялись для каж дого зап роса из Intruder, добавим в заголов ки зап роса сле- 
дующее: 
.
X-Stepper-Execute-Before: 
[Название 
твоей 
последовательности]
12. Так же под ста вим име на наших перемен ных 
и 
в пакет Intruder, толь ко испра вим их на 
и 
. В Intruder
у меня получил ся сле дующий пакет зап роса:
$VAR:session$
$VAR:csrf$
$VAR:[Название твоей
последовательности]:session$
$VAR:[Здесь тоже]:csrf$
POST /login2
HTTP
/
1.1
Host:
ac311f2c1f2abcbd807689da0068009a.web-security-academy.net
Cookie:
session=$VAR:evil:session$
Content-Type:
application/x-www-form-urlencoded
X-Stepper-Execute-Before:
evil
Content-Length:
51
csrf=$VAR:evil:csrf$&mfa-code=§1337§ 
В дан ном при мере имя моей пос ледова тель нос ти — 
.
evil
Те перь перед каж дым зап росом из Intruder будет выпол нять ся пос- 
ледова тель ность ранее под готов ленных зап росов, которые переда дут
в пакет получен ные зна чения сес сии и CSRF-токена.
13. Пос ледний шаг, нас тра иваем наг рузку во вклад ке Payloads, точ но так же,
как мы это делали в пре дыду щем раз деле. Выбира ем в Payload Type зна- 
чение Numbers и ука зыва ем циф ры, которые мы хотим генери ровать:
.
From: 0, To: 9999, Step: 1, Min integer digits: 4
14. За пус каем нашу ата ку! Отсле живать отправ ленные пакеты мож но
в появив шей ся вклад ке Logger или при помощи модуля Logger++.
В этот раз мне повез ло боль ше, мой код был 
. Что важ ного мож но
заметить? В отли чие от пре дыду щего вари анта мы не огра ниче ны одним
потоком и соз дали пять потоков, а самые умные мог ли отклю чить галоч ку Set
Connection: close в опци ях наг рузки и уда лить этот заголо вок из пакетов
в Stepper и Intruder, что бы уве личить ско рость работы.
0261
Сде лаем выводы.
Âîç ìîæíîñ òè:
из-за того что модуль Stepper под держи вает сес сии, переда вая зна чение
сес сии и токена от зап роса к зап росу, мы можем исполь зовать мно гопо- 
точ ное исполне ние зап росов и наши перемен ные не будут кон флик товать
в потоках;

нам ста новят ся дос тупны перек рес тные ата ки, ког да мы можем запус кать
работу нес коль ких пос ледова тель нос тей парал лель но;

на тив но понят ная нас трой ка перено са сос тояний от зап роса к зап росу
и лег ко добав ляемый заголо вок 
, который
запус кает Stepper для любого модуля.

X-Stepper-Execute-Before:
Ïðîá ëåìû:
на самом деле Stepper не поз воля ет исполь зовать так мно го потоков,
как хотелось бы. Око ло трех потоков дей стви тель но успе вают работать
вмес те, но из-за осо бен ностей кода модуля боль шее их количес тво толь- 
ко тор мозит выпол нение;

при ходит ся вруч ную нас тра ивать перемен ные для каж дого зап роса, что
может выг лядеть изну ряюще скуч но.

Дан ный пла гин под ходит ско рее для исполь зования его с модулем Repeater,
о чем раз работ чики пре дуп режда ли нас в при ветс твен ном сооб щении.

Download 1,36 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish