BurpのIntruderでパスワードを総当たりで調べるときに普通にリストを用意していた
どうもshuu_miyakoです。
今回のテーマを書こうと思ったきっかけは、Burpの開発会社であるPortSwigger社が公開しているWeb Security Academyで勉強中に、パスワードなどを総当たりで調べるとき(ブルートフォース攻撃するとき)はIntruderでBrute forcer使うと便利だよと記載がありました。
※Web Security AcademはBurpの使い方だけでなく、脆弱性診断の勉強もできる物凄いためになるサイトです。私はWSAって勝手に読んでます。
はて、Brute forcerってなんだ?
結論から言うと、Burpに候補の文字と文字数を教えれば、全ての組み合わせを生成して試してくれるIntruderの機能の一つです。
今までBurpでパスワードの総当たりを調べるときは自分で総組み合わせの一覧表を作って、それを読み込ませるという運用をしていました。
サイトによって使える文字数や文字種などバラバラなので、その都度、総組み合わせの一覧表を自分で作る手間が少しだけ煩わしいって思っていました。
ですが、このBrute forcer機能を使えばBurp側で作れるので、他のツールを使ったりウィンドウ切り替えといった本当にちょっとした手間が省けるんです。
そこに心が動きました。なんていうか、「Burp君、優秀!♪」みたいな感じです。
使い方としては、IntruderタブのPayloadsで以下のように設定して「start attack」押下
・Payload Setsの Payload typeを「Brute forcer」に選択
・Payload OptionsのCharacter setに使用する文字(デフォルトではa~z0~9が設定されています)
・Payload OptionsのMin lengthに最小文字数
・Payload OptionsのMax lengthに最多文字数
上記の画像の場合の挙動は、最初に「0000」→「1000」→「2000」・・・→「9000」→「0100」→「1100」→「2100」のように桁の最上位から順に試していくような感じです。
あえて欠点を挙げるとすれば、手元に総組み合わせの一覧表が生成されないので、顧客に提出する必要があるときに改めて作成するという手間がかかるぐらいですかね。
今まで「自分が使用するツールぐらいは社内で一番詳しくなれ」と散々上司に怒られてきましたが、本当にまだまだ勉強不足だなと再実感しました。
他のIntruderの機能についても別の機会に記事にしたいと思います。
では。