PortSwigger-Broken brute-force protection, IP block(BurpSuite WritesUp)

まず、WritesUpを進める前に、BurpSuiteのIntruderの攻撃タイプとして、以下があります。

BurpSuiteのAttack Typeはいくつかあります。

・Sniper attack
Payloadに値を入れて、リクエストを送る。複数のPayloadに設定がされていても、1Payloadずつ値を変えて、リクエストを送る。

・Battering ram attack
各Payloadにすべて同じ値を入れて、総当たり攻撃をする。

・Pitchfork attack
各Payloadの一覧の順番で総当たり攻撃をする。一覧の配列の添え字＝攻撃回数及びPayloadの組みあわせとなるイメージ。

・Cluster bomb attack
複数のPayloadですべての組み合わせで総当たり攻撃をする。

攻撃方法に合わせて、利用する攻撃タイプは変更する必要があります。
いつも通り、Loginを試して、リクエスト内容をプロキシに残します。

今回は、正しいユーザのログインと攻撃対象のユーザのログイン試行を交互に試すため、Pitchfork attackを利用します。

2つのパラメタをPayloadsに登録します。

Resource poolから、同時リクエスト数を調整します。
これによって想定通りの順番でリクエストを送るようにします。

usernameのパラメータとして、wienerとcarlosを追加して、交互にリクエストを試すようにします。

パスワードは2回に一回正しいリクエストができるようにするため、そのようなパスワードリストを作ります。

これで攻撃を行います。

carlosでstatus codeが302のものを見つけましょう。
フィルターを適用することで、見つけることができました。