Brute-forçage d’un cookie de session persistante

Brute-forcing a stay-logged-in cookie

Lab: Brute-forcing a stay-logged-in cookie | Web Security AcademyWebSecAcademy

Ce laboratoire permet aux utilisateurs de rester connectés même après avoir fermé leur navigateur. Le cookie utilisé pour cette fonctionnalité est vulnérable au brute-force. Pour résoudre le lab, il faut brute-forcer le cookie de Carlos afin d’accéder à sa page My account.

Identifiants fournis : wiener:peter Nom de la victime : carlos

Authentication lab passwords | Web Security AcademyWebSecAcademy

Analyse du mécanisme “Stay logged in”

Lorsqu’on coche l’option de reconnexion automatique, la requête suivante est envoyée :

Le serveur renvoie alors un cookie nommé stay-logged-in, dont le contenu est encodé en Base64 :

Après décodage, on obtient :

La structure du cookie est donc :

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.net

En vérifiant le hash via CrackStation, on découvre qu'il correspond à la valeur peter en MD5.

Mise en place du brute-force

1. Envoyer la requête contenant le cookie au Burp Intruder et sélectionner la valeur du cookie comme zone d’injection.

Dans Payload Processing :

• ajouter une transformation générant un hash MD5 ;

• ajouter un préfixe : carlos:

• encoder le tout en Base64.

1. Charger la liste de mots de passe dans Payload Settings.

Lors de l’attaque, une réponse 200 indique le bon cookie pour Carlos.

Le cookie obtenu est :

Décodage

• carlos:7d8bc5f1a8d3787d06ef11c97d4655df

En vérifiant ce hash sur CrackStation, on trouve que le mot de passe associé est taylor.