The document discusses using Burp Suite to conduct brute force attacks. It describes setting up an attack in Burp Intruder by defining the target, positions, payloads, and options. It explains different attack types like sniper, battering ram, pitchfork and cluster bomb. It also covers various payload types that can be used, such as simple lists, character substitutions, case modifications and recursive grep. The goal is to automatically try many username and password combinations to identify valid credentials.
The document discusses using Burp Suite to conduct brute force attacks. It describes setting up an attack in Burp Intruder by defining the target, positions, payloads, and options. It explains different attack types like sniper, battering ram, pitchfork and cluster bomb. It also covers various payload types that can be used, such as simple lists, character substitutions, case modifications and recursive grep. The goal is to automatically try many username and password combinations to identify valid credentials.
The document discusses using Burp Suite to conduct brute force attacks. It describes setting up an attack in Burp Intruder by defining the target, positions, payloads, and options. It explains different attack types like sniper, battering ram, pitchfork and cluster bomb. It also covers various payload types that can be used, such as simple lists, character substitutions, case modifications and recursive grep. The goal is to automatically try many username and password combinations to identify valid credentials.
adita.si : maximize information system value for business 1
Agenda • Effective Brute Force Attack • Burp Intruder • Attack & Result • Documentation
adita.si : maximize information system value for business 2
Effective Brute Force Attack • Menggunakan hasil dari Information Gathering: – Profil sistem – Profil user – Demografi user – Keluarga user • Daftar password yang sering digunakan di daerah
adita.si : maximize information system value for business 3
adita.si : maximize information system value for business 4
Attack Target • Mengatur detil dari server target yang akan diserang, yaitu: – Host • IP address atau Hostname dari Target – Port • Services Port Number target – Use HTTPS • Apabila server target menggunakan protokol HTTPS
adita.si : maximize information system value for business 5
Positions • Mengatur: – Request Template • Script request form yang dikirimkan ke server target – Attack Type: • Sniper • Battering ram • Pitchfork • Cluster bomb
adita.si : maximize information system value for business 6
adita.si : maximize information system value for business 7
Attack Types - Sniper • Hanya menggunakan 1 payload saja • 1 value payload digunakan bergantian di setiap parameter • Total jumlah serangan: – banyak parameter * banyak value payload
adita.si : maximize information system value for business 8
Attack Types - Sniper • Contoh: – Request Template: • username=§user§&password=§pwd§ – Payload1 (Simple list): • admin • root – Attack: • username=admin&password=pwd • username=user&password=admin • username=root&password=pwd • username=user&password=root adita.si : maximize information system value for business 9 Attack Types – Battering ram • Hanya menggunakan 1 payload saja • 1 value payload digunakan bersamaan di semua parameter • Total jumlah serangan: – banyak value payload
adita.si : maximize information system value for business 10
adita.si : maximize information system value for business 11
Attack Types – Pitchfork • Dapat menggunakan lebih dari 1 payload • 1 value payload1 digunakan dengan 1 value payload lainnya • Total jumlah serangan: – banyak value payload1
adita.si : maximize information system value for business 12
adita.si : maximize information system value for business 14
Attack Types – Cluster bomb • Dapat menggunakan lebih dari 1 payload • 1 value payload digunakan sebanyak jumlah value payload lainnya • Total jumlah serangan: – banyak value payload1 * banyak value payload2 * … * banyak value payloadN
adita.si : maximize information system value for business 15
adita.si : maximize information system value for business 17
Payloads • Mengatur value dari setiap payload yang ada pada Request Template dan disesuaikan dengan Attack Type yang dipilih, terdiri dari: – Payload Sets – Payload Options – Payload Processing – Payload Encoding
adita.si : maximize information system value for business 18
Payload Sets • Payload set: – Bisa disebut sebagai jenis/kategori payload – Ditentukan secara manual dengan menggunakan Payload Marker § – Banyak payload tergantung dari parameter yang terdapat di Request Template
adita.si : maximize information system value for business 19
Payload Sets • Payload type: – Simple list – Runtime file – Custom iterator – Character substitution – Case modification – Recursive grep – Illegal unicode
adita.si : maximize information system value for business 20
Payload Sets • Payload type: (lanjutan..) – Character blocks – Numbers – Dates – Brute forcer – Null payload – Character frobber – Bit flipper
adita.si : maximize information system value for business 21
adita.si : maximize information system value for business 22
Payload type – Simple list • Membuat daftar value payload yang akan digunakan dalam serangan • List value (Professional edition): – Fuzzing – quick – Fuzzing – full – Usernames – Passwords – Short words – … dll…
adita.si : maximize information system value for business 23
Payload type – Runtime file • Menggunakan isi file sebagai value payload
adita.si : maximize information system value for business 24
Payload type – Custom iterator • Menggabungkan setiap kata dalam posisi1 dengan setiap kata pada posisi lainnya menjadi sebuah value payload • Terdapat 8 posisi • Total value payload: – banyak kata posisi1 * banyak kata posisi2 * … * banyak kata posisiN
adita.si : maximize information system value for business 25
adita.si : maximize information system value for business 26
Payload type – Custom iterator • Contoh: – Value Payload: • admin123 • root123 • admin456 • root456
adita.si : maximize information system value for business 27
Payload type – Character substitutions • Mengubah huruf menjadi karakter tertentu yang ditentukan • Perubahan hanya dapat dilakukan 1 kali untuk setiap huruf nya • Perubahan dilakukan berulang hingga semua huruf dalam kata telah berubah sesuai tabel subtitusi • Secara default, perubahan tidak terpengaruh huruf besar/kecil
adita.si : maximize information system value for business 28
Payload type – Character substitutions • Contoh: – Character substitution: a > 4 b > 8 e > 3 g > 6
i > 1 o > 0 s > 5 t > 7
z > 2 a > @ s > $
adita.si : maximize information system value for business 29
Payload type – Character substitutions • Contoh: – List Items • Admin – Value Payload: • Admin • 4dmin • Adm1n • 4dm1n
adita.si : maximize information system value for business 30
Payload type – Case modification • Memodifikasi kata menjadi huruf: – Sesuai kata yang diinputkan (No Change) – kecil semua (To lower case) – BESAR semua (To upper case) – Besar pada huruf pertama kata pertama (To Propername) – Besar Pada Setiap Huruf Pertama Kata (To ProperName)
adita.si : maximize information system value for business 31
Payload type – Recursive grep • Digunakan untuk menyerang form yang menggunakan session token • Value payload pada setiap request berdasarkan response server sebelumnya • Cara pengaturannya: – Send Form Request dari Target ke Intruder – Pilih Attack Type yang sesuai • Umumnya adalah Pitchfork – Set Request Template dan Posisi Parameter token adita.si : maximize information system value for business 32 Payload type – Recursive grep • Cara pengaturannya: (lanjutan..) – Payload type • Recursive grep – Options • Grep – Extract Add – Block value token yang ada pada halaman html » Start after expression dan End at Delimiter akan terisi secara otomatis • Request Engine – Number of threads: 1
adita.si : maximize information system value for business 33
Payload type – Recursive grep • Attack: – Intercept request yang dibuat – Copy value token dari request tersebut ke • Payloads – Payload Options » Initial payload at first request
– Start Attack
adita.si : maximize information system value for business 34
Payload type – Recursive grep • Result:
adita.si : maximize information system value for business 35
Python Advanced Programming: The Guide to Learn Python Programming. Reference with Exercises and Samples About Dynamical Programming, Multithreading, Multiprocessing, Debugging, Testing and More