Cracking offline de mots de passe

Offline password cracking

Lab: Offline password cracking | Web Security AcademyWebSecAcademy

Ce laboratoire stocke un hash de mot de passe dans un cookie. De plus, la fonctionnalité de commentaires présente une vulnérabilité XSS. Objectif : récupérer le cookie stay-logged-in de carlos, casser son mot de passe hors ligne, puis se connecter en tant que lui pour supprimer son compte.

Identifiants fournis :

• wiener : peter Victime : carlos

2. Fonctionnement du cookie stay-logged-in

Lorsque l’on coche stay logged in, la requête envoyée contient :

Le serveur renvoie alors une cookie stay-logged-in encodée en Base64 :

Décodage →

• wiener:51dc30ddc473d43a6011e9ebba6ca770

On observe donc le schéma suivant :

3. Tentative de craquage hors ligne via Intruder

Dans Burp, on peut créer un payload utilisant :

1. Transformation MD5 du mot de passe

• Préfixe “carlos:”

1. Encodage Base64 du tout

Puis tester un dictionnaire.

→ Aucun résultat concluant.

4. Exploitation du XSS dans les commentaires

Le champ commentaire est vulnérable à du JavaScript :

On peut donc extraire les cookies via un fetch:

La requête arrive bien sur notre exploit-server.

5. Récupération et décodage du cookie de Carlos

Cookie intercepté (Base64) :

Décodage →

• carlos:26323c16d5f4dabff3bb136f2460a943

6. Craquage du mot de passe

Après envoi du hash à CrackStation, il retourne :

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.crackstation.net

7. Finalisation

Connexion avec :

carlos : onceuponatime