PortSwigger:使用暴力攻击绕过双因素认证(2023年更新)
作者:Aaryan Golatkar
阅读时间:4分钟 · 2023年5月17日 · 162次播放分享
PortSwigger Web安全学院:使用暴力攻击绕过双因素认证
欢迎大家!这是针对双因素认证绕过专家级实验室的更新版解题报告。由于实验室已更新,早期报告中提到的所有技术都已失效。不过,我发现了一种新的解决方案,将在本文中详细介绍。
发生了什么变化?
此前,即使重新登录后,生成的2FA代码也不会过期。而现在,每次登录时代码都会变更,之前的代码将立即失效。这就像试图捕捉一辆移动的卡车!
如何解决该实验室?
为每个请求使用随机四位数会降低获取正确代码的概率。考虑以下情况:
- 请求1 → 正确代码:0141,我们提交:0140
- 请求2 → 正确代码:0140,我们提交:0141
正确代码明显大于我们提交的代码。如果使用递增代码,获得有效代码的机会几乎为零。为了解决这个问题,我们必须提高获取正确代码的概率。如果我们重复提交同一代码一万次呢?在某个请求中,生成的2FA代码将会匹配,我们就有可能成功。
我们将使用宏(Macros)来解决这个实验室。如果想了解宏的使用方法,建议观看这个视频。
解决方案
步骤1:启动Burp Suite
确保所有实验室服务器请求都被Burp Suite捕获。
步骤2:使用给定的用户名和密码登录
步骤3:转到Settings → Sessions → Add Macros
选择以下3个请求并进行配置:
GET /login
POST /login
GET /login2
选择后点击“OK”
已选请求:
- 选择GET /login → Configure Items → 选择CSRF令牌的值
- 选择POST /login → Configure Items → 确保CSRF值来自前一个请求(GET /login)
- 选择GET /login2 → Configure Items → 执行与GET /login相同的操作
连续点击“OK”直到返回Sessions选项卡
步骤4:选择Session Handling Rules → Add
在Rule Actions中选择Run a Macro
在Scope部分包含所有URL
在Session Handling Action Editor中选择我们创建的宏
所有设置已完成配置,现在是时候进行利用了!
步骤5:利用
拦截POST /login2请求(输入随机2FA代码)并发送到Intruder
选择mfa-code作为Payload Position,攻击类型:Sniper
如前所述,我们不选择随机/递增数字,而是选择一个代码并重复请求10,000次。我检查了之前的2FA认证实验室以了解生成的代码类型。
来自2FA简单绕过实验室的电子邮件客户端:
如你所见,代码以0开头后接随机数字。因此我们可以选择任何以0开头的随机数字。这里我重复提交了10,000次数字0993。
转到Resource Pool并设置Maximum Concurrent Requests=1
启动攻击,最终你会找到一个302响应。
第2066个请求的302状态
右键点击请求 → Show response in browser
成功!实验室已解决!
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
