[Web Application Pentesting] Аутентификация HTTP, Атаки на HTTP Basic Auth

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Привет колеги.
Добро пожаловать на курс Web Application Pentesting.
В этой статье мы с вами поговорим о:
  • Вспомним немного сервера
  • Поговорим о ,ее видах
  • Посмотрим на HTTP базовую аутентификацию ( )
  • Посмотрим как атаковать HTTP Basic Auth c помощью:
    • http-brute скрипта от Nmap
    • http-login auxiliary модуля в Metasploit
    • Перебор пароля с помощью Hydra (Дополнение от меня)
Итак прежде чем мы начнем знакомство за HTTP аутентификацией давайте немножко вспомним коды ответа веб сервера:

12.PNG

В прошлой статье мы познакомились с вами как можно отсылать на сервер различные запросы (GET,POST,HEAD и т.д) И на каждый такой запрос сервер нам отвечает в первую очередь статус кодом ответа.То есть это может быть успешное обращение к ресурсу(2xx),в результате которого мы получаем желаемый контент,перенаправление на другой ресурс(3xx), ошибки на стороне сервера(5xx),информационные заголовки (1xx) или ошибки на стороне клиента (4xx)
Конкретно в этой статье мы будем встречаться с заголовком 401 - не пройдена клиента.

Теперь давайте поговорим об аутентификации HTTP
Аутентификация в HTTP бывает только двух видов:
  • HTTP Bacic Auth( )
  • HTTP Digest Auth( )
Это важно понимать!! Так как различные формы аутентификации, windows ntlm аутентификации и т.д
не имеют никакого отношения к стандартам HTTP протокола и HTTP аутентификации.
14.PNG


Теперь давайте посмотрим на слайд выше, и попытаемся понять как же работает аутентификация в HTTP. Как можно наблюдать, все очень и очень просто:
  1. Клиент запрашивает защищенный ресурс у сервера
  2. Сервер просит клиента отправить ему необходимый логин:пароль
  3. Клиент отправляет Серверу логин:пароль
  4. В случае успешной проверки присланных данных сервер дает доступ на запрашиваемый защищенный ресурс,в противном (если логин и пароль не прошли проверку ) случае отдаст статус код ответа 401
Вроде как все понятно.
Давайте посмотрим как это выглядит на практике через анализатор сетевого трафика WireShark:
В PentesterAcademy есть бесплатная площадка для тренировки полученных знаний:
Давайте откроем по http basic auth
1.PNG

Видим что это задания которое мы решим немножко поже в этой статье,немного забегая наперед возьмем пока уже готовый логин и пароль от этого таска( только в целях демонстрации работы аутентификации)
логин: admin
пароль: aaddd
Откроем и запускаем WireShark и сперва давайте посмотрим на трафик неудачной аутентификации:
15.PNG
16.PNG
17.PNG

Как можете наблюдать сервер передается запрос методом POST и появляется заголовок (header|хедер) Authorization со значением Basic и base64 символы. На что сервер ответил нам 401 статус кодом и мы не получили желаемый контент.
Теперь давайте попробуем зайти под валидными кредами|creds(логин:пароль):
18.PNG
19.PNG

Как видим идет запрос на сервер к защищенному ресурсу через метод POST но в хедере Authorization идут уже валидные логин и пароль (admin:aaddd) в base64 кодировке(Wireshark имеет в себе функционал декодировать base64 кодировку) Если кто хочет проверить то можно легко это сделать даже в командной строке :
20.PNG


Как результат успешной проверки логина и пароля на стороне сервера ,нам вернулся заголовок ответа 200 ОК и желаемый контент)
Надеюсь здесь более менее понятно как работает базовая HTTP аутентификация ,о Digest Auth мы поговорим в следующей статьи.

Теперь давайте перейдем к атаке на базовую аутентификацию:
Для начала как в рамках курсах Вивека посмотрим атаки с помощью Nmap и Metasploit Framework
Сразу же хочу заметить плюсы такой атаки
21.PNG


Суть атаки как вы уже смогли догадаться в том , что мы перебираем возможные пароли и логины к запрашиваемому ресурсу через по словарю.
И так давайте вернемся к нашему от Вивека:
Видим подсказку (hint|хинт) о том , что валидный логин или admin или nick
а пароль состоит из 5 латинских символов в нижнем регистре и состоит только из трех букв a,s,d
1.PNG


Создадим сперва словарик утилитой crunch:
2.PNG

Подготовим файл с логинами:
4.PNG


Сходим на официальный сайт nmap за документацией по
Смотрим необходимые параметры:
3.PNG

Наша команда для нмап выглядит примерно так:

nmap -p 80 --script http-brute --script-args 'http-brute.hostname=pentesteracademylab.appspot.com,http-brute.method=POST,http-brute.path=/lab/webapp/basicauth,passdb=./pass.txt,userdb=./users.txt' -v pentesteracademylab.appspot.com -n
И результат:
5.PNG

Как видим все на отлично отработало) Наш логин пароль сбрутился за 9 секунд.
Идем дальше.
Давайте добьемся того же результата через метасплоит через модуль http_login:
22.PNG

Признаюсь честно ,при попытке выполнить этот модуль на таске Вивека - он у меня не отработал,наверное упустил какуе то мелочную деталь в опциях,но пока нету времени разбираться с проблемой так что попытаюсь разобраться немножко позже и укажу где была проблема,а пока для демонстрации возьму вдс-ку одного товарища)
8.PNG


Заполним необходимые опции и запустим :
9.PNG


Проверим результат :) SoolFaa привет) :D
10.PNG


Теперь от себя немного добавлю.
Так же HTTP Basic аутентификация прекрасно брутится с помощью утилиты Hydra
hydra -l admin -P pass.txt pentesteracademylab.appspot.com http-post /lab/webapp/basicauth

7.PNG

Как видим результат тот же)
Вот видосик к статье:

Всем спасибо) Продолжение следует)
Понравилась статья - жмакни лайк

Вот пдф-ка со слайдами небольшая по статье смотрите во вложенных файлах.
 

Вложения

  • WAP HTTP Basic Auth.pdf
    484,7 КБ · Просмотры: 1 433
Последнее редактирование:
I

Inject0r

~~DarkNode~~, подскажи, а как изменится команда брута через гидру, если форма с логином и паролем находится на корневой странице? Пробовал после http-post поставить слеш и не работает в итоге. Гидра считает все пароли правильными из файла, хотя это не так.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
~~DarkNode~~, подскажи, а как изменится команда брута через гидру, если форма с логином и паролем находится на корневой странице? Пробовал после http-post поставить слеш и не работает в итоге. Гидра считает все пароли правильными из файла, хотя это не так.
А у тебя точно Basic Auth по / ??? Или там быть может просто веб форма аутентификации?
попробуй http-get /
Если не поможет - стучи в личку. Попробуем решить.
 
S

sdfsd

Hello! Can i ask you a question?
Почему я получаю ответ 127.0.0.1 когда пингую "blablabla.com",и nmap тоже.Cмог нагуглить - Это не ошибка Outpost. DNS сервер данных сайтов настроен так, чтобы отсылать данный IP адрес.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Hello! Can i ask you a question?
Почему я получаю ответ 127.0.0.1 когда пингую "blablabla.com",и nmap тоже.Cмог нагуглить - Это не ошибка Outpost. DNS сервер данных сайтов настроен так, чтобы отсылать данный IP адрес.
Попробуйте воспользоваться DSN сервером гугла:
Если используется Windows:
1.PNG


Если Linux добавить строку nameserver 8.8.8.8 в /etc/resolv.conf:
2.PNG


После чего sudo service networking restart && sudo service network-manager restart
 
  • Нравится
Реакции: ghostphisher
S

sdfsd

Попробуйте воспользоваться DSN сервером гугла:
Если используется Windows:
Посмотреть вложение 8481

Если Linux добавить строку nameserver 8.8.8.8 в /etc/resolv.conf:
Посмотреть вложение 8482

После чего sudo service networking restart && sudo service network-manager restart
у меня slackware, днс гугла добавил этих команд не видит.service: command not found
вафлю обычно перезагружаю /etc/rc.d/rc.inet1 restart
та же песня 127.0.0.1
[doublepost=1483793358,1483791046][/doublepost]
у меня slackware, днс гугла добавил этих команд не видит.service: command not found
вафлю обычно перезагружаю /etc/rc.d/rc.inet1 restart
та же песня 127.0.0.1
это происходит лишь с одним доменом
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
у меня slackware, днс гугла добавил этих команд не видит.service: command not found
вафлю обычно перезагружаю /etc/rc.d/rc.inet1 restart
та же песня 127.0.0.1
[doublepost=1483793358,1483791046][/doublepost]
это происходит лишь с одним доменом
На всякий случай посмотрите содержимое файла:
/etc/hosts
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Может надо в железке (роутере) прописать? И не относится ли каким либо образом ресурс, который надо исследовать к сети провайдера?
 

ActionNum

Well-known member
27.11.2016
80
93
BIT
0
Аналогично в Metasploit не получилось сделать брут. Указываю AUTH_URI /lab/webapp/basicauth в RHOST pentesteracademylab.appspot.com, но запрос почему то идет минуя AUTH_URI
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!