Brute Force

username과 password가 같으면 avatar 이미지를 출력하고 Welcome to the password protected area 문구를 띄우고 아니면 Username and/or password incorrect를 띄운다.

admin과 123을 입력하고, 버프슈트를 이용해서 프록시를 구성한다. 

admin과 123이 들어가 있는 것을 볼 수 있다.

우클릭해서 Send to Intruder를 클릭해서 Intruder에게 보내준다.

Intruder에서 Positions에 입력해준 password에 들어간 123에 마크를 칠해준다.

Attack type은 4가지가 있다.

• Sniper는 하나의 Payload Set만 설정하여 공격을 진행하고, 여러 개의 Payload Position이 설정되어 있으면 한 번에 하나의 Position에 Payload Set을 차례대로 대입하는 방식이다.
  

• Battering ram은 Payload를 반복하여 사용하며 Payload가 정의된 모든 위치에 동일한 Payload Set을 대입하는 방법이다.
  

• Pitchfork는 설정한 Payload Position의 개수만큼 Payload Set을 설정한다.
  

• Cluster bomb는 Pitchfork 방식과 같지만, Cluster bomb은 첫 번째 Payload Set을 반복 삽입하면서 동시에 두번째 Payload Set을 차례대로 반복 삽입한다는 점이다.

Sniper를 선택해준다.

Payloads에서 Load를 눌러서 비밀번호 사전파일을 불러준다.

password를 보면

Welcome을 볼 수 있고 아바타 화면이 떠진다. 아이디는 admin 비밀번호는 password이다.