HTML Form Auth. Korumalı Sayfalara Yönelik Kaba Kuvvet Parola Denemeleri
Web uygulamalarına yönelik kaba kuvvet saldırıları yapmak için Burp Suite ve Fireforce gibi araçları kullanabilirsiniz. Bu araçlar, web sayfalarındaki kimlik doğrulama formlarını otomatik olarak doldurarak doğru kullanıcı adı ve parola kombinasyonunu bulmaya çalışır. Bu işlemi yapmak için aşağıdaki adımları izleyebilirsiniz:
1. Adım: Web tarayıcınızda (Firefox gibi) proxy ayarlarınızı yapın. Proxy sunucu adresi olarak 127.0.0.1 ve port olarak 8080 girin. Bu şekilde web trafiğiniz Burp Suite uygulamasına yönlendirilecektir.
2. Adım: Burp Suite uygulamasını çalıştırın. Proxy sekmesindeki Options altında Intercept Client Requests bölümünde "Support invisible proxying for non-HTTP aware clients" seçeneğini işaretleyin. Bu, HTTPS trafiğini de yakalamanızı sağlayacaktır.
3. Adım: Kaba kuvvet saldırısı yapmak istediğiniz web sayfasını (gmail gibi) açın. Kullanıcı adı ve parola girin, ancak giriş yapmayın. Burp Suite uygulamasında Proxy sekmesindeki Intercept altında "Intercept is on" seçeneğini aktif hale getirin. Bu, web isteğinizi yakalamanızı sağlayacaktır.
4. Adım: Yakaladığınız web isteğine sağ tıklayın ve "Send to Intruder" seçeneğini seçin. Intruder sekmesine geçin ve Positions altında "Clear §" butonuna tıklayın. Ardından kullanıcı adı ve parola alanlarını seçin ve "Add §" butonuna tıklayın. Bu, saldırıda değiştirilecek parametreleri belirlemenizi sağlayacaktır. Attack type olarak "Sniper" seçin. Bu, tek bir parametreyi değiştirerek saldırı yapmanızı sağlayacaktır.
5. Adım: Payloads sekmesine geçin ve Payload set olarak 1'i seçin. Payload type olarak "Simple list" seçin. Payload options bölümünde denemek istediğiniz kullanıcı adlarını girin veya "Load" butonu ile bir dosyadan kullanıcı adlarını yükleyin. Payload set olarak 2'yi seçin ve aynı işlemi parolalar için de yapın.
6. Adım: Saldırıyı başlatmak için "Start attack" butonuna tıklayın. Results sekmesinde saldırının sonuçlarını görebilirsiniz. Length ve Status kodu gibi değerlere bakarak doğru kullanıcı adı ve parola kombinasyonunu bulmaya çalışın. Genellikle, doğru kombinasyon farklı bir uzunluk veya durum kodu verir. Örneğin, gmail'de doğru kombinasyon 302 durum kodu ve 0 uzunluk değeri verir.
7. Adım: Doğru kombinasyonu bulduğunuzda, sonuca sağ tıklayın ve "Send to Repeater" seçeneğini seçin. Repeater sekmesine geçin ve "Go" butonuna tıklayın. Bu, web isteğini tekrar göndermenizi sağlayacaktır. Response sekmesinde web sayfasının yanıtını görebilirsiniz. Eğer başarılı bir şekilde giriş yaptıysanız, web sayfasının içeriğini görebilirsiniz.
Bu adımları takip ederek web uygulamalarına yönelik kaba kuvvet saldırıları yapabilirsiniz.
Web uygulamalarına yönelik kaba kuvvet saldırıları yapmak için Burp Suite ve Fireforce gibi araçları kullanabilirsiniz. Bu araçlar, web sayfalarındaki kimlik doğrulama formlarını otomatik olarak doldurarak doğru kullanıcı adı ve parola kombinasyonunu bulmaya çalışır. Bu işlemi yapmak için aşağıdaki adımları izleyebilirsiniz:
1. Adım: Web tarayıcınızda (Firefox gibi) proxy ayarlarınızı yapın. Proxy sunucu adresi olarak 127.0.0.1 ve port olarak 8080 girin. Bu şekilde web trafiğiniz Burp Suite uygulamasına yönlendirilecektir.
2. Adım: Burp Suite uygulamasını çalıştırın. Proxy sekmesindeki Options altında Intercept Client Requests bölümünde "Support invisible proxying for non-HTTP aware clients" seçeneğini işaretleyin. Bu, HTTPS trafiğini de yakalamanızı sağlayacaktır.
3. Adım: Kaba kuvvet saldırısı yapmak istediğiniz web sayfasını (gmail gibi) açın. Kullanıcı adı ve parola girin, ancak giriş yapmayın. Burp Suite uygulamasında Proxy sekmesindeki Intercept altında "Intercept is on" seçeneğini aktif hale getirin. Bu, web isteğinizi yakalamanızı sağlayacaktır.
4. Adım: Yakaladığınız web isteğine sağ tıklayın ve "Send to Intruder" seçeneğini seçin. Intruder sekmesine geçin ve Positions altında "Clear §" butonuna tıklayın. Ardından kullanıcı adı ve parola alanlarını seçin ve "Add §" butonuna tıklayın. Bu, saldırıda değiştirilecek parametreleri belirlemenizi sağlayacaktır. Attack type olarak "Sniper" seçin. Bu, tek bir parametreyi değiştirerek saldırı yapmanızı sağlayacaktır.
5. Adım: Payloads sekmesine geçin ve Payload set olarak 1'i seçin. Payload type olarak "Simple list" seçin. Payload options bölümünde denemek istediğiniz kullanıcı adlarını girin veya "Load" butonu ile bir dosyadan kullanıcı adlarını yükleyin. Payload set olarak 2'yi seçin ve aynı işlemi parolalar için de yapın.
6. Adım: Saldırıyı başlatmak için "Start attack" butonuna tıklayın. Results sekmesinde saldırının sonuçlarını görebilirsiniz. Length ve Status kodu gibi değerlere bakarak doğru kullanıcı adı ve parola kombinasyonunu bulmaya çalışın. Genellikle, doğru kombinasyon farklı bir uzunluk veya durum kodu verir. Örneğin, gmail'de doğru kombinasyon 302 durum kodu ve 0 uzunluk değeri verir.
7. Adım: Doğru kombinasyonu bulduğunuzda, sonuca sağ tıklayın ve "Send to Repeater" seçeneğini seçin. Repeater sekmesine geçin ve "Go" butonuna tıklayın. Bu, web isteğini tekrar göndermenizi sağlayacaktır. Response sekmesinde web sayfasının yanıtını görebilirsiniz. Eğer başarılı bir şekilde giriş yaptıysanız, web sayfasının içeriğini görebilirsiniz.
Bu adımları takip ederek web uygulamalarına yönelik kaba kuvvet saldırıları yapabilirsiniz.
