วิธีใช้งาน Kali Linux – OWASP Zap – Brute Force with Fuzz

ในการตรวจสอบ ความแข็งแกร่งของระบบป้องกันการโจมตี เรื่องหนึ่งคือความสามารถในการกัน Brute Force หรือ ความพยายามเดารหัสผ่าน

OWASP Zap สามารถใช้เป็นเครื่องมือในการทำ Brute Force ได้ โดยใช้เครื่องมือที่ชื่อว่า Fuzz

ขั้นตอนมีดังนี้

  1. เปิด Zap และเปิด Web Browser ที่ตั้งค่าให้ Zap เป็น Proxy และ ทำการ Authentication ทดสอบดู
    2559-10-21-15_22_20-kali-light-running-oracle-vm-virtualbox
  2. ใน Zap จะปรากฏ POST Action ที่สำหรับส่ง Username และ Password เกิดขึ้น
    2559-10-21-15_22_52-program-manager
  3. เลือก Username ที่ทดสอบใส่ลงไป แล้วคลิกขวา เลือก Fuzz
    2559-10-21-15_23_17-program-manager
  4. จากนั้นคลิก Payloads
    2559-10-21-15_23_44-kali-light-running-oracle-vm-virtualbox
  5. จากนั้น คลิกปุ่ม Add เลือก Type เป็น Strings แล้วใส่ Username ที่จะใช้ในการเดา เสร็จแล้วคลิกปุ่ม Add
    2559-10-21-15_24_25-kali-light-running-oracle-vm-virtualbox
  6. จากนั้น เลือกข้อความที่เป็น Password แล้วคลิก Add แล้วคลิก Payload แล้วใส่ Password ที่จะเดา เสร็จแล้วคลิกปุ่ม Add
    2559-10-21-15_25_25-kali-light-running-oracle-vm-virtualbox
  7. เมื่อตั้งค่าเสร็จแล้ว คลิกปุ่ม Start Fuzz
    2559-10-21-15_25_42-kali-light-running-oracle-vm-virtualbox
  8. Zap จะทำการเดา Username/Password เมื่อเสร็จแล้ว ลองสังเกตผลใน Tab Fuzzer
    ผลที่ได้อาจจะแตกต่างกันในแต่ละระบบที่โจมตี แต่ในภาพ จะเห็นว่า มี Size Response Header อยู่บรรทัดหนึ่งที่มีขนาดแตกต่างจากอันที่ไม่สำเร็จ คือ 390 bytes (บรรทัดอื่นๆเป็น 310 bytes) เมื่อลองคลิกดู แล้วไปดูใน Tab Response จะเห็นว่า มีการ Set-Cookie แสดงว่า Login ได้แล้ว

    ใน Column Payloads จะเห็นว่า รหัสผ่านเป็น admin,123456 สามารถเอาไปทดสอบได้
    2559-10-21-15_27_32-program-manager

ในตัวอย่างนี้ ถ้ามีระบบป้องกันการเดารหัสผ่าน เช่น fail2ban ก็จะสามารถลดความเสี่ยงได้ (บ้าง)