[웹] Brute Force Attack

Brute Force Attack (무차별 공격 대입)

특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 공격 방법이다.

출처는 사진 하단에 있다. 

문제는 admin의 패스워드를 찾는 것이다. 패스워드는 숫자 3자리로 이루어져 있고, 패스워드가 정답이면 key is ~ 라고 뜨고 정답이 아니면 위와 같이 No~ 라고 뜬다.

아이디는 admin이고 비밀번호는 3자리 숫자이므로 Brute Force 를 이용할 수 있다.

나는 Burp Suite를 사용했다. Burp Suite를 사용하면 시간이 굉장히 오래 걸린다는 단점이 있지만 어렵지 않았다.

id와 pw에 값을 입력하면 GET 방식으로 전송된다. id에 admin을, pw에 아무 값이나 입력 후 intercept 하고 마우스 오른쪽 버튼을 클릭한 후 Send to Intruder 를 통해 소스코드를 보내준다.

보낸 후에 Brute Force를 해주기 위해 다음과 같이 pw에만 변수를 설정해준다. 

비밀번호는 3자리이므로 100부터 999까지 대입할 수 있도록 설정 해주었다.

key is 가 뜨면 체크되도록 설정해주었다.

key is 가 나와서 체크 표시로 나타내주었다. admin의 비밀번호는 784이다.

알게된 비밀번호로 로그인을 하면 다음과 같이 뜬다.

Burp Suite를 사용하면 시간이 오래걸리기 때문에 파이썬으로도 한 번 해봐야겠다.