Lab: Broken brute-force protection, IP block
Last updated
Last updated
Phòng thí nghiệm này dễ bị tấn công do lỗi logic trong bảo vệ mật khẩu bằng cách dùng brute-force.
Thông tin đăng nhập của bạn: wiener:peter
Tên người dùng của nạn nhân: carlos
Mục tiêu: Dùng brute-force để lấy mật khẩu của nạn nhân, sau đó đăng nhập và truy cập trang tài khoản của họ.
IP của bị chặn tạm thời nếu gửi 3 lần đăng nhập không chính xác liên tiếp
Tuy nhiên, bộ đếm sô lần đăng nhập không thành công lại reset khi nhập thông tin đăng nhập hợp lệ wiener:peter
Lợi dụng điều này thêm thông tin đăng nhập hợp lệ vào payload sau mỗi 2 lần bruteforce
Tấn công Pitchfork với Intruder
Tìm status code 302 cho username là carlos
