Práctica 01.-Fuerza Bruta con BurpSuite
Ataque de Fuerza Bruta sobre "Brute Force" en DVWA usando Burp Suite¶
En esta práctica, realizarás un ataque de fuerza bruta sobre la funcionalidad "Brute Force" de Damn Vulnerable Web Application (DVWA) utilizando Burp Suite. Este ataque permite probar múltiples combinaciones de credenciales para obtener acceso a la aplicación.
1. Requisitos Previos¶
✔️ DVWA ejecutándose en Metasploitable
✔️ Nivel de seguridad configurado en "Low" (DVWA Security → Low
)
✔️ Burp Suite instalado y configurado como proxy
2. Configurar Burp Suite como Proxy de Interceptación¶
1️⃣ Abrir Burp Suite y asegurarte de que el proxy está activado.
2️⃣ Configurar el navegador para que utilice Burp Suite como proxy HTTP.
- Firefox: Ir a Opciones → Red → Configuración → Proxy Manual
- Proxy: 127.0.0.1
- Puerto: 8080
3️⃣ Acceder a DVWA a través del navegador con Burp activado:
http://<IP-METASPLOITABLE>/dvwa
3. Capturar la Petición de Autenticación en DVWA¶
1️⃣ Navegar a la funcionalidad "Brute Force" en DVWA.
2️⃣ Introducir cualquier combinación de usuario y contraseña en el formulario.
3️⃣ En Burp Suite, ir a la pestaña "Proxy" → "Intercept"
y asegurarse de que la captura está habilitada.
4️⃣ Presionar "Login"
en DVWA para capturar la petición HTTP POST.
📌 Ejemplo de petición capturada en Burp Suite:
POST /dvwa/vulnerabilities/brute/ HTTP/1.1
Host: <IP-METASPLOITABLE>
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 46
Cookie: security=low; PHPSESSID=123456789abcdef
Connection: close
username=admin&password=123456&Login=Login
4. Enviar la Petición a Burp Intruder para Automatizar el Ataque¶
1️⃣ En la pestaña Proxy, hacer clic derecho sobre la petición y seleccionar "Send to Intruder". 2️⃣ Ir a la pestaña "Intruder" → "Positions" y marcar los campos username y password para que sean reemplazados con diferentes valores.
- Marcar
admin
y123456
como variables dinámicas usando § (Payload Positions). 3️⃣ En la pestaña "Payloads", seleccionar: - Payload type:
Simple list
. - Lista de usuarios:
admin, user, test
. - Lista de contraseñas:
123456, password, dvwa, letmein
.
5. Ejecutar el Ataque de Fuerza Bruta¶
1️⃣ Ir a la pestaña "Intruder" → "Start attack". 2️⃣ Burp Suite enviará automáticamente múltiples combinaciones de usuario y contraseña. 3️⃣ En la columna "Status", observar los códigos de respuesta:
- 200 (Acceso denegado) → Credenciales incorrectas.
- 302 (Redirección) → Credenciales correctas encontradas.
📌 Ejemplo de credenciales exitosas encontradas:
username=admin
password=password
Conclusión¶
Usando Burp Suite Intruder, has logrado automatizar un ataque de fuerza bruta contra la funcionalidad vulnerable de DVWA. Esta prueba demuestra la importancia de:
🔹 Implementar bloqueos de intentos fallidos. 🔹 Utilizar mecanismos de autenticación seguros (2FA, CAPTCHA). 🔹 Monitorear accesos sospechosos en registros de autenticación.
¡Ahora puedes probar con diferentes configuraciones y listas de credenciales para fortalecer tu aprendizaje en pentesting web! 🚀