portswigger Lab: Username enumeration via account lock

[russian404]

Хаюшки!
Лаба решена хоть и с помощью приложенного к ней решения, но осталась непонятка, которой в решении нет.
Почему нужно запустить 4 экземпляра одной и той же атаки (burp-intruder), чтобы вызвать блокировку учетки? В четвертом экземпляре определяется бОльшая длина.
И как до этого мне нужно было додуматься?

.net/web-security/authentication/password-based/lab-username-enumeration-via-account-lock

 

[Exited3n]

Хаюшки!
Лаба решена хоть и с помощью приложенного к ней решения, но осталась непонятка, которой в решении нет.
Почему нужно запустить 4 экземпляра одной и той же атаки (burp-intruder), чтобы вызвать блокировку учетки? В четвертом экземпляре определяется бОльшая длина.
И как до этого мне нужно было додуматься?

.net/web-security/authentication/password-based/lab-username-enumeration-via-account-lock

Таким образом мы определили живую(существующую) учетку и потом ее сбрутили.
Даже лаба называется - Username enumeration via account lock

четвертом экземпляре определяется бОльшая длина

Нам сервер говорит что учетка заблочена, потому и длина ответа отличается.

 

[Exited3n]

да это я понимаю.Вопрос был в другом. 4 экземпляра одной и той же атаки (старт атак кликнуть 4 раза (будет 4 окна )) и в четвертом блочится

Вопрос тогда в чем ?

 

[russian404]

Таким образом мы определили живую(существующую) учетку и потом ее сбрутили.
Даже лаба называется - Username enumeration via account lock

да это я понимаю.Вопрос был в другом. 4 экземпляра одной и той же атаки (старт атак кликнуть 4 раза (будет 4 окна )) и в четвертом блочится - и этого нет в решении

 

[Exited3n]

да это я понимаю.Вопрос был в другом. 4 экземпляра одной и той же атаки (старт атак кликнуть 4 раза (будет 4 окна )) и в четвертом блочится - и этого нет в решении

В каком решение ?? Нет там такого. Тип атаки Cluster Bomb, 2 пейлоада и все. Потом брут учетки, снайпер атак.

 

[russian404]

4 экземпляра одной и той же атаки (старт атак кликнуть 4 раза (будет 4 окна )) и в четвертом блочится - и этого нет в решении

прочитал про это на ихнем форуме: forum.portswigger.net/thread/lab-username-enumeration-via-account-lock-cb182b5e

 

[russian404]

Тип атаки Cluster Bomb, 2 пейлоада и все. Потом брут учетки, снайпер атак.

Да, только не у всех срабатывает.
forum.portswigger.net/thread/lab-username-enumeration-via-account-lock-cb182b5e

 

[russian404]

forum.portswigger.net/thread/lab-username-enumeration-via-account-lock-cb182b5e

Походу это из-за community версии BS. Попробую ломатую pro.

не могу грамотно перевести:

For those also having problems, I think the issue is that the account has to fail 4 times in quick succession which won't happen with the community version of BS. I was even running three instances and it wasn't helping - the problem is that it has to fail that 4th time quickly. So if you run four at a time, whichever one you start last will finally hit the new message and the new content length. I personally feel like the throttling is a bit much on the community version, or that there should at least be an exemption for the web-security-academy.net domain

 

[russian404]

Походу это из-за community версии BS

Ну да. PRO за 30 сек. отработал (1 экземпляр intruder attack). А community перечисляет очень очень долго.