Brute Force Saldırısı Nasıl Yapılır?(Burp Suite)
Brute Force Nedir ?
Brute Force, bir parolayı ele geçirmek için yapılan bir çeşit dijital ve kriptografi saldırısıdır. Brute-Force tekniğinde elde herhangi bir bilgi bulunmuyor olmasına karşın belli şifreler denenerek doğru şifreye ulaşmaya çalışılır.
Bu saldırı yönteminde genellikle insanların sıklıkla kullandığı 12345678 ve 987654321 gibi basit şifreler başta olmak üzere birçok şifreden oluşan bir liste hazırlanır. Daha sonra meydana getirilen yardımcı bir yazılım yardımıyla veya el yordamıyla bu şifreler parolası bulunmak istenen hesaba giriş yapabilmek için tekrar tekrar denenir. Yazılım, doğru şifre bulunduğu anda bir sinyal vererek işlemi durdurur.
Burp Suite Yardımıyla Brute Force Saldırısı
Önceki yazılarımda DVWA kurulumu yapmıştık. Yine bu yazımızda DVWA uygulaması üzerinde örnek bir Brute Force Saldırısı gerçekleştireceğiz.
Öncelikle Kali Linux Makinemizde Burp Suite ve zafiyet barındıran DVWA uygulamamızı açıyoruz.
Karşımıza çıkan sistemde bir login ekranı karşılamaktadır.ID ve Password olarak elimizde hiçbir ipucu bulunmamakta.
Burda izlememiz gereken yöntemde Brute Force(Kaba Kuvvet) Saldırısına göre geçerli bir Kullanıcı Adı ve Parola geliştirmemiz gerekiyor. Eğer elimizde bu uygulama için kullanıcı adı ve parola olabilicek şeylerin listesi var ise bu değerleri sırası ile birbirine kombine ederek ayrı ayrı denemesi için Burp Suite’den faydalanacağız.
İlk olarak ID ve Password denemesi yaparız, bunu yaparkende Burp Suite’de Proxy > Intercept alanında Intercept is On alanı seçili olmalı ve bu şekilde giden istekleri yakalayıp manipüle ederek sürekli farklı değerler ile deneme yapabileceğiz.
Sonrasında Burp Suite’te sağ tıklayarak Send to Intruder’a göndereceğiz.Bu işlemi yaptıktan sonra Intruder sekmesinin sarı renkte yandığını görebiliriz ve bu şekilde o sekmeye geçiş yaparız.
Intruder sekmesine girdiğimizde bizi bu şekilde bir ekran karşılar. Target alanında Attack Target yapılıcak alanı editliyebiliyoruz şu durumdadefault olarak bizde seçili gelmiş durumda.
Sonrasında Positions sekmesine geliriz ve burda gördüğümüz üzere bir çok parametre otomatik olarak seçili gelmiş durumda.
Bunları seçili parametreleri Clear butonu yardımıyla temizleyerek sadece istediğimiz parametreleri seçmeliyiz. İstediğimiz parametreleri eklemek için öncelikle kullanıcı adı kısmını seçip Add butonuna basıyoruz. Sonrasında aynı işlemi password içinde uyguluyoruz.
Daha sonra Attack Type alanından Cluster Bomb modunu seçiyoruz.Bu mod elimizdeki wordlist’e bulunan tüm kombinasyonlar için deneme yapmamızı sağlıyor.
Bu adımları tamamladıktan sonra Payloads sekmesine gelerek payloads’larımızı girelim. Bu alanda elimizle ekleme yapabileceğimiz gibi önceden oluşturmuş olduğumuz ya da internet üzerinde var olan wordlist’lerden birini ekliyebiliriz.
Ben öncesinde wordlistesi adında bir wordlist oluşturmuştum. Burada Load butonu yardımıyla ilk inputumuz olan Kullanıcı adı için payloadlarımızı ekliyorum.
Sonraki adımda aynı payloadları password kısmınada eklememiz gerekiyor. Bunun için Payload Set alanından 2 ‘yi seçiyoruz.
Resimde görüldüğü üzere ID ve Password olabileceğini düşündüğümüz listede bulunan10 adet değeri eklemiş olduk. Burada add alanından kendimde liste dışında birkaç değer daha ekliyorum. Siz internette yapacağınız araştırmada binlerce değer içeren worlist’lere erişebilir ya da kendiniz oluşturabilirsiniz tamamen hayal gücünüze kalıyor.
Artık Start Attack butonuna basarak saldırıyı başlatıyoruz.Aslında Burp Suite bize ID ve Password’u buldum şu değerlerdir şeklinde bir cevap dönmüyor.
Burp Suite’in burada yaptığı şey aslında giden isteklere dönen cevapları incelememizi sağlamak. Biz bu response’ları inceleyerek doğru ID ve Password’e ulaşmış oluyoruz. Dikkat ettiğimizde bi üstteki resimde1 Lenght değerinin diğerlerinden farklı olduğunu görüyoruz.
Bu değerlere ait response’u incelediğimizde “Welcome to the password protected area admin” cevabı ile karşılaşıyoruz. İlgili kullanıcı adı ve parola ile giriş yaptığımızda ise başarılı bir şekilde login olabildik.
Bu yazımızda Burp Suite Kullanarak Nasıl Brute Force Saldırısı yapıldığını ve wordlist oluşturma gibi konulara değindik.
Başka bir yazıda görüşmek dileğiyle :))
