Username enumeration via account lock

Link: https://portswigger.net/web-security/authentication/password-based/lab-username-enumeration-via-account-lock

Description:

This lab is vulnerable to username enumeration. It uses account locking, but this contains a logic flaw. To solve the lab, enumerate a valid username, brute-force this user's password, then access their account page.

Proof of concept:

  1. Lakukan analisa pada web target

  2. Lakukan request login pada web target dengan menjalankan proxy burp suite

  3. Setelah mengaktifkan proxy burp suite, lalu lintas request & response dapat terlihat. Kirim request endpoint login ke burp suite intruder

  4. Atur payload untuk parameter username dan password menggunakan payload yang telah disediakan, gunakan type attack Cluster bomb attack

  5. Jika sudah, jalankan serangan. Lihat response yang diberikan. Terlihat terdapat payload dengan length response yang berbeda. Length berbeda tersebut dikarenakan response yang diberikan berbeda yaitu You have made too many incorrect login attempts. Please try again in 1 minute(s). bukan lagi Invalid username or password. . Artinya kemungkinan, request yang berisi payload dengan payload username tersebut merupakan username yang valid. Ambil username tersebut dan hentikan serangan agar mempercepat proses eksploitasi

  6. Buat kembali request login untuk di burp suite intruder dengan nilai username adalah username yang sebelumnya telah didapati pada proses guessing credentials sebelumnya. Lalu atur payload untuk parameter password dengan payload password yang telah disediakan. Gunakan type attack Snipper attack dikarenakan hanya akan melakukan brute force pada satu data yaitu data password saja

  7. Jika sudah jalankan serangan, dan terlihat terdapat length request yang berbeda dari yang lainnnya, dimana pada request tersebut tidak menampilkan pesan kesalahan apapun. Maka dapat diasumsikan, bahwa payload password tersebut merupakan kombinasi yang tepat dari username yang sebelumnya telah didapatkan

  8. Untuk memastikannya, login menggunakan username dan password yang sebelumnya telah didapati. Dan terlihat berhasil login menggunakan kombinasi credential tersebut dan tantangan pada lab ini pun berhasil terselesaikan

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousUsername enumeration via response timingNextPassword reset poisoning via middleware

Last updated