Lab: Broken brute-force protection, IP block
Myaccountから、自分のアカウントや、適当なアカウントでログインしてみます。
3回連続間違えると、IPが一時的にブロックされますが、
その前に、自分のアカウントでログインすると、回数がリセットされるようです。
適当なアカウントでログインし、
POST /login
をイントルーダーに送ります
攻撃タイプをpitchforkに、
username,password両方に、§マークをつけます
リソースプールタブに移ります
create new resource poolにチェック
Maximum concurrent requests にチェックして、1を
*これで、並列でリクエストが投げられないので、
リクエストの順序が保証されます
ペイロードタブに移り
ペイロードセット1を選択
carlos
wiener
carlos
wiener
carlos
wiener
carlos
…
と交互になるリストを作ってはりつけます
全部で200行くらいですね
ペイロードセット2を選択
用意されている候補者のパスワードをコピー
123456
peter
password
peter
12345678
peter
qwerty
123456789
…
のように、1行ずつ間に、あなたのwienerのパスワードを差し込んでいきます。
*パスワードが、2行目にpeter差し込むなら、アカウントも、wienerは2行目に!
1回ずつ、wienerでログイン成功させて、ブロックカウントをリセットしている訳ですね
Start atack
statusでソート
carlosで、302なのが正解パスワード
ログインして、クリア!
正規アカウントログインで、ブロックカウントがクリアされるなら、
飛び飛びにログインさす順番のアカウント・パスワードリスト作って送ればということです。
pitchforkも慣れてきました。
最初に、3回間違えたらブロック、でも正規ログインでクリア。に気づけるかです。
–)v
コメント