Lab: Brute-forcing a stay-logged-in cookie
PreviousLaboratorio: 2FA bypass usando un ataque por fuerza brutaNextLaboratorio: Offline password cracking
Last updated
Last updated
This lab allows users to stay logged in even after they close their browser session. The cookie used to provide this functionality is vulnerable to brute-forcing.
To solve the lab, brute-force Carlos's cookie to gain access to his "My account" page.
Your credentials: wiener:peter
Victim's username: carlos
¿Que podriamos hacer?
Con el podemos ver como es la estructura de la cookie de un user, y con ello podemos tomar la base para intentar por fuerza bruta descifrar la cookie de carlos e ingresar, para ello analizaremos la cookie de Wiener.
Pille pues como es la vuelta, lo que hicimos fue tomar la cookie de wiener:
Ahi la tenemos, ahora si nos vamos a un BASE64 para intentar decodificarla, encontramos lo sig:
Aqui tenemos algo muy importante porque vemos que hay algo del tipo username:codigo Extraño.
Pero si analizamos más a detalle lo que hay despues de los dos puntos despues de “wiener”, nos encontramos con que un simple cifrado por MD5, es un hash de 128 bits, hace como 10 años que le hicieron criptoanalisis a ese hash y quedo obsoleto y de hecho fue por fuerza bruta por computadora, 128 bits ya es muy poco para resistir ataques por fuerza bruta, por eso se usa AES de 256 bits y hasta 312 bits, en fin simplemente vamos a una pagina que nos decode el MD5 y esto fue lo que encontramos:
Tal cual como lo pensé, lo que esta en hash MD5 es la contraseña, osea que finalmente la estructura de la cookie stay-logged-in=Username+Password, con eso ya tenemos para empezar nuestro vector de ataque, simplemente la contraseña de username le añadimos parametro de posición, vamos a ver como.
Esta es una idea, puedo crear un ataque del tipo pitchFork que me paylodee ambos parametros de posición, ahora bien, lo que haré con ello será probar por un lado las contraseñas normales y por otro las contraseñas hasheadas al MD5
Esta es una caracteristica muy importante de burpsuite que nos ayuda a poder llevar a cabo un ataque con caracteristicas especificas para un diccionario de palabras, en este caso para la contraseñas posibles de carlos.
Es importante entender que cuando iniciamos como wiener automaticamente nos lleva a actualizar el correo con el boton “Update email”, literalmente una persona normal no lo podra ver como algo más pero uno de pentester web puede entender mucho, nosotros usaremos un grep Match desde burp para poder tomar la petición que nos muestre este bóton especifico.
Está será la que enviemos a burp intruder.
Para que nos matcheé el boton que ya mencionamos antes.
Vamos a ver!
Importante antes de darle a iniciar ataque, cerramos sesión en la cuenta que ya teniamos abierta de WIENER.
ahora iniciamos el ataque y Eureka:
Esté nos devolvió un 200 y el comentario de Update email que es el Boton, así que vamos a darle en show response in browser, probablemente este sea el user con la password.
Decodificamos el hash MD5 ->
Username: Carlos
Password: sunshine
Así fue como lo solucionamos.
Si llegaste hasta aquí gracias por leerme y espero te haya servido :)
