Burp Suite CEのIntruderは制限がかかっているため、Lab: Username enumeration via different responsesの実施は難しい。
WEBファジングツール FFUFを使用して、実施する。
準備
Burp Suite CEを起動する。
Firefoxを起動して、Burp Suite CEを経由して、Lab: Username enumeration via different responsesを開く。
「Candidate usernames」をusernames.txt、「Candidate passwords」をpasswords.txtとして、保存する。
から、ラボにアクセスする。
「My Accout」をクリックする。
「Username」にUSER、「Password」にPASSを入力して、「Log in」をクリックする。
BurpのHTTP Historyから、loginのPOSTリクエストを右クリックし、「Copy to file」を選択し、request.txtとして、保存する。
FFUFでファジングする
以下のコマンドを実行する。
-w:ワードリスト。複数ある場合は、コロンで区切って、入れ替えのキーワードを指定する。
今回は、request.txt内のUSERとPASSをワードリストに置き換える。
デフォルトのキーワードは、FUZZ。置き換えたいパラメータをFUZZにしておく。
-request:HTTPのリスエストを指定する。
-mc:HTTPステータスコードがマッチすると、その時のUSER、PASSを表示する。
-c:色を分けて、表示する。
ffuf -w ./usernames.txt:USER,./passwords.txt:PASS -request request.txt -mc 302 -c
15分程度で、10100回のリクエストを行った。
Burp経由、FFUFでファジングする
以下のコマンドを実行する。
-x:mitmproxyを指定する。
ffuf -w ./usernames.txt:USER,./passwords.txt:PASS -request request.txt -x http://127.0.0.1:8080 -mc 302 -c
2分程度で、10100回のリクエストを行った。
その他
httpsがデフォルト。httpの場合は、-request-proto httpを指定する。