728x90
이번 포스트에서는 DVWA의 Brute Force 문제를 실습해보겠다.
## 공격 정의
- 인증 시스템을 해킹하거나 데이터를 탈취하기 위해 비밀번호, PIN, 암호화된 데이터의 키 또는 다른 인증 정보를 무차별 대입하는 공격 방법
- 공격자는 대량의 가능한 비밀번호 목록을 작성한 다음 이를 시스템에 대입하여 올바른 비밀번호를 찾을 때까지 계속 시도
- 자동화된 소프트웨어를 사용하여 비밀번호를 대입하며, 이를 통해 많은 시도를 빠르게 수행할 수 있음.
## 공격 다이어그램
- 공격자는 대량의 가능한 비밀번호 목록을 작성
- 공격자는 자동화된 소프트웨어를 사용하여 비밀번호를 대입
- 시스템은 비밀번호를 검증하고 올바르지 않으면 거부
- 공격자는 시스템이 거부하는 모든 비밀번호를 다시 시도
- 공격자가 올바른 비밀번호를 찾을 때까지 이 과정을 계속 수행
## 실습
DVWA의 Brute Force 항목을 선택하면 아래와 같은 이미지가 보인다.
아이디는 admin이며, 패스워드는 password이다. 로그인 성공 및 실패 시의 반환 페이지는 각각 다음과 같다.
버프 스위트를 활용해서 패킷을 잡아보면 다음과 같다.
해당 패킷을 Intruder로 전달한 후 변경해야할 패스워드 파라미터를 설정한다.
payloads에 들어가서 사전에 미리 만든 딕셔너리 파일을 대입하여 페이로드 값을 설정한다.
이어서 공격을 시도하면 다음과 같은 결과를 확인할 수 있다.
다른 패킷과의 Length가 다른게 하나 있는데, 해당 패킷의 자세한 raw 데이터를 확인하면 다음과 같다.
공격을 성공적으로 진행된 것을 확인할 수 있다.
'Wargame > DVWA' 카테고리의 다른 글
| DVWA (SQL Injection) (0) | 2023.03.15 |
|---|---|
| DVWA (Insecure CAPTCHA) (0) | 2023.03.14 |
| DVWA (File Upload) (0) | 2023.03.13 |
| DVWA (File Inclusion) (0) | 2023.03.12 |
| DVWA (Command Injection) (0) | 2023.03.11 |
