Web Security Academy

Lien du lab : https://portswigger.net/web-security/authentication/password-based/lab-username-enumeration-via-subtly-different-responses

Objectif :

• Réussir à se connecter sur un compte utilisateur dans le site.

Solution :

On lance le lab et on se trouve dans un blog.

On clique ensuite sur login pour accéder à la page de connexion :

On soumet au serveur un nom de compte et un mot de passe au hasard pour observer comment il va réagir. Il répond de cette façon :

Il affiche ce message d'erreur : "Invalid username or password."

On va essayer d'effectuer une attaque de type brute-force sur le champ "Username" pour observer si pour une entrée, le serveur nous renvoie une réponse différente. On utilisera l'outil Burp Intruder de Burp Suite avec une "wordlist" pouvant être récupérée ici : https://portswigger.net/web-security/authentication/auth-lab-usernames )

On constate que si on entre le nom de compte "ftp", le message d'erreur "Invalid username or password." apparaît sans point à la fin. On va garder cet identifiant pour brute-forcer le champs "password". La liste de mots utilisée se trouve ici : https://portswigger.net/web-security/authentication/auth-lab-passwords.

On trouve qu'avec le mot de passe "iloveyou", le statut de la requête réponse du serveur est différent des autres.

On essaie de se connecter avec les valeurs trouvées et ça fonctionne !

Il suffit maintenant de cliquer sur "My account" pour valider le lab.