You are on page 1of 35

Brute Force Attack

with Burp Suite

adita.si : maximize information system value for business 1


Agenda
• Effective Brute Force Attack
• Burp Intruder
• Attack & Result
• Documentation

adita.si : maximize information system value for business 2


Effective Brute Force Attack
• Menggunakan hasil dari Information
Gathering:
– Profil sistem
– Profil user
– Demografi user
– Keluarga user
• Daftar password yang sering digunakan di
daerah

adita.si : maximize information system value for business 3


Burp Intruder
• Attack Target
• Positions
• Payloads
• Options

adita.si : maximize information system value for business 4


Attack Target
• Mengatur detil dari server target yang akan
diserang, yaitu:
– Host
• IP address atau Hostname dari Target
– Port
• Services Port Number target
– Use HTTPS
• Apabila server target menggunakan protokol HTTPS

adita.si : maximize information system value for business 5


Positions
• Mengatur:
– Request Template
• Script request form yang dikirimkan ke server target
– Attack Type:
• Sniper
• Battering ram
• Pitchfork
• Cluster bomb

adita.si : maximize information system value for business 6


Positions
• Mengatur: (lanjutan..)
– Payload Markers:
• Add §
• Clear §
• Auto §

adita.si : maximize information system value for business 7


Attack Types - Sniper
• Hanya menggunakan 1 payload saja
• 1 value payload digunakan bergantian di
setiap parameter
• Total jumlah serangan:
– banyak parameter * banyak value payload

adita.si : maximize information system value for business 8


Attack Types - Sniper
• Contoh:
– Request Template:
• username=§user§&password=§pwd§
– Payload1 (Simple list):
• admin
• root
– Attack:
• username=admin&password=pwd
• username=user&password=admin
• username=root&password=pwd
• username=user&password=root
adita.si : maximize information system value for business 9
Attack Types – Battering ram
• Hanya menggunakan 1 payload saja
• 1 value payload digunakan bersamaan di
semua parameter
• Total jumlah serangan:
– banyak value payload

adita.si : maximize information system value for business 10


Attack Types – Battering ram
• Contoh:
– Request Template:
• username=§user§&password=§pwd§
– Payload1 (Simple list):
• admin
• root
– Attack:
• username=admin&password=admin
• username=root&password=root

adita.si : maximize information system value for business 11


Attack Types – Pitchfork
• Dapat menggunakan lebih dari 1 payload
• 1 value payload1 digunakan dengan 1 value
payload lainnya
• Total jumlah serangan:
– banyak value payload1

adita.si : maximize information system value for business 12


Attack Types - Pitchfork
• Contoh:
– Request Template:
• username=§user§&password=§pwd§
– Payload1 (Simple list):
• admin
• root
– Payload2 (Simple list):
• password
• qwerty

adita.si : maximize information system value for business 13


Attack Types - Pitchfork
• Contoh: (lanjutan..)
– Attack:
• username=admin&password=password
• username=root&password=qwerty

adita.si : maximize information system value for business 14


Attack Types – Cluster bomb
• Dapat menggunakan lebih dari 1 payload
• 1 value payload digunakan sebanyak jumlah
value payload lainnya
• Total jumlah serangan:
– banyak value payload1 * banyak value payload2
* … * banyak value payloadN

adita.si : maximize information system value for business 15


Attack Types – Cluster bomb
• Contoh:
– Request Template:
• username=§user§&password=§pwd§
– Payload1 (Simple list):
• admin
• root
– Payload2 (Simple list):
• password
• qwerty

adita.si : maximize information system value for business 16


Attack Types – Cluster bomb
• Contoh: (lanjutan..)
– Attack:
• username=admin&password=password
• username=admin&password=qwerty
• username=root&password=password
• username=root&password=qwerty

adita.si : maximize information system value for business 17


Payloads
• Mengatur value dari setiap payload yang
ada pada Request Template dan disesuaikan
dengan Attack Type yang dipilih, terdiri
dari:
– Payload Sets
– Payload Options
– Payload Processing
– Payload Encoding

adita.si : maximize information system value for business 18


Payload Sets
• Payload set:
– Bisa disebut sebagai jenis/kategori payload
– Ditentukan secara manual dengan
menggunakan Payload Marker §
– Banyak payload tergantung dari parameter yang
terdapat di Request Template

adita.si : maximize information system value for business 19


Payload Sets
• Payload type:
– Simple list
– Runtime file
– Custom iterator
– Character substitution
– Case modification
– Recursive grep
– Illegal unicode

adita.si : maximize information system value for business 20


Payload Sets
• Payload type: (lanjutan..)
– Character blocks
– Numbers
– Dates
– Brute forcer
– Null payload
– Character frobber
– Bit flipper

adita.si : maximize information system value for business 21


Payload Sets
• Payload type: (lanjutan..)
– Username generator
– ECB block shuffler
– Extension-generated
– Copy other payload

adita.si : maximize information system value for business 22


Payload type – Simple list
• Membuat daftar value payload yang akan
digunakan dalam serangan
• List value (Professional edition):
– Fuzzing – quick
– Fuzzing – full
– Usernames
– Passwords
– Short words
– … dll…

adita.si : maximize information system value for business 23


Payload type – Runtime file
• Menggunakan isi file sebagai value payload

adita.si : maximize information system value for business 24


Payload type – Custom iterator
• Menggabungkan setiap kata dalam posisi1
dengan setiap kata pada posisi lainnya
menjadi sebuah value payload
• Terdapat 8 posisi
• Total value payload:
– banyak kata posisi1 * banyak kata posisi2 * … *
banyak kata posisiN

adita.si : maximize information system value for business 25


Payload type – Custom iterator
• Contoh:
– Posisi1:
• admin
• root
– Posisi2:
• 123
• 456

adita.si : maximize information system value for business 26


Payload type – Custom iterator
• Contoh:
– Value Payload:
• admin123
• root123
• admin456
• root456

adita.si : maximize information system value for business 27


Payload type –
Character substitutions
• Mengubah huruf menjadi karakter tertentu
yang ditentukan
• Perubahan hanya dapat dilakukan 1 kali
untuk setiap huruf nya
• Perubahan dilakukan berulang hingga
semua huruf dalam kata telah berubah
sesuai tabel subtitusi
• Secara default, perubahan tidak
terpengaruh huruf besar/kecil

adita.si : maximize information system value for business 28


Payload type –
Character substitutions
• Contoh:
– Character substitution:
a > 4 b > 8 e > 3 g > 6

i > 1 o > 0 s > 5 t > 7

z > 2 a > @ s > $

adita.si : maximize information system value for business 29


Payload type –
Character substitutions
• Contoh:
– List Items
• Admin
– Value Payload:
• Admin
• 4dmin
• Adm1n
• 4dm1n

adita.si : maximize information system value for business 30


Payload type – Case modification
• Memodifikasi kata menjadi huruf:
– Sesuai kata yang diinputkan (No Change)
– kecil semua (To lower case)
– BESAR semua (To upper case)
– Besar pada huruf pertama kata pertama
(To Propername)
– Besar Pada Setiap Huruf Pertama Kata
(To ProperName)

adita.si : maximize information system value for business 31


Payload type – Recursive grep
• Digunakan untuk menyerang form yang
menggunakan session token
• Value payload pada setiap request
berdasarkan response server sebelumnya
• Cara pengaturannya:
– Send Form Request dari Target ke Intruder
– Pilih Attack Type yang sesuai
• Umumnya adalah Pitchfork
– Set Request Template dan Posisi Parameter
token
adita.si : maximize information system value for business 32
Payload type – Recursive grep
• Cara pengaturannya: (lanjutan..)
– Payload type
• Recursive grep
– Options
• Grep – Extract  Add
– Block value token yang ada pada halaman html
» Start after expression dan End at Delimiter akan terisi secara
otomatis
• Request Engine
– Number of threads: 1

adita.si : maximize information system value for business 33


Payload type – Recursive grep
• Attack:
– Intercept request yang dibuat
– Copy value token dari request tersebut ke
• Payloads
– Payload Options
» Initial payload at first request

– Start Attack

adita.si : maximize information system value for business 34


Payload type – Recursive grep
• Result:

adita.si : maximize information system value for business 35