用户名枚举

用户名枚举

要破解用户/密码验证机制的第一步是发现有效的用户名。方法之一是通过枚举，枚举web应用程序中的用户是通过分析在登录、注册和密码恢复页面等位置提交用户名时的响应来完成的。

1.靶场和靶机，要用到的靶场：OWASP BWA。要用到的靶机：WebGot。

首先打开虚拟机kali，再打开靶场OWASP BWA。

靶机的地址是如下：

我们平时所使用的应用程序，基本都会为客户提供忘记密码或者重置密码的程序。当我们的用户名不存在时，这些应用程序也能识别出来，这可以用来枚举出的方式，现有名称的列表：

2. 在kali linux中开启Burp Suite Community Edition，并打开BP的Chromium浏览器。

Chromium登录：http://192.168.160.129/WebGoat/attack

登录的时候使用的用户名和密码都是一样的：webgoat

这个是登录之后的界面

3. 进入WebGoat后，然后点击start

 4. 点击Authentication Flaws，然后会出现一个Forgot Password等下拉菜单

 

 5. 选择Forgot password，弹出输入User Name的页面，如果没有可以点击Restart this Lesson

 

 6. 提交任意用户名（例如xshell），但是这个用户是在数据库中不存在，我们将收到弹出的一条消息：说该用户名无效：

 

 

7. 然后可以举一个例子，当我们提供了有效的用户名时，它们的结果是不一样的。下面要对此进行测试，请将请求发送Intruder模块。

在Burp的Proxy/HTTP history中，我们找到刚才输入User-name是xshell的那个数据包，如下图示：

8. 对该数据包单机右键选择Send to Intruder

 

 

9. 进入Intruder模块，设置用户名作为唯一要破解的位置：

9.1 点击Clear§

 

 

9.2 在最后一行，Username=xshell处，选择xshell，在点击Add§按钮

10. 转到Payloads来设置将在攻击中使用的用户字典列表。Payload type保持默认类型为Simple list简单列表，然后单击Load按钮来加载 /usr/share/wordlists/metasploit/http_default_users.txt文件

 11. 现在知道了用户不存在时的响应，可以使用Burp告诉该消息何时出现在结果中。转到    Intruder | Settings | Grep – Match，全选列表内容，点击Remove清除列表

 

12. 勾选Flag result items with responses matching these expressions，

再输入Not a valid username，然后点击Add。

 

13. 返回Intruder | Positions，点击Start attack，然后开始攻击。

请注意，有一些名称（如admin），其中无效用户名的消息没有使用Burp Suite标记，这些名称在应用程序中是有效的：

 输入用户名admin,What is your favorite color?输入green,可以看到密码，也就是用户名admin是正确的，用户名root的颜色是green。

总结和心得：

     通过这次的学习，使我充分的认识了用户名枚举的作用还有好处，它是一种很常见的编程技术，它有很多好处，就比如，我们需要测试一个需要用户名还有密码才能执行的操作的web应用程序时，需要寻找攻击者发现有效的用户名和密码的方法。在登陆，注册和密码恢复页面中，对有效和无效用户的响应有点不一样，就会找到一个有效的信息。然而这个过程中我也认识了一个工具Burp Suite来代理原始请求，除了这个工具还有其他的的工具也可以用。我还知道了利用服务器响应的不同，攻击者可以获取到系统已经存在的账户，还可以暴力破解获取账户的登录密码。