Tutoriel WFuzz – Bypasser un Panel Administration

Je vous présente aujourd’hui un nouveau logiciel qui est installé par défaut sous Kali-Linux qui se nomme WFuzz.

WFuzz est un logiciel qui a des multiples fonctions comme par exemple de brute forcée un des répertoires ou encore de trouver des noms d’utilisateurs et des mots de passe 🙂 Voici comment lancer WFuzz et voir ses options :

Nous allons essayer de brute forcée le panel administration pour pouvoir se connecter et ainsi infiltrer le site web 🙂 . Attention se teste et effectué sur mon réseau local, il est interdit de faire ceci sur un site qui ne vous appartient pas.

Grâce à BurpSuite je vais récupérer les données POST pour pouvoir les intégrer dans WFuzz, je rentre un identifiant et un mot de passe (test,test) puis je lance une connexion 🙂 Une fois toutes les informations récupérées, nous allons lancer maintenant WFuzz.

Donc j’explique la commande ci-dessus ; je lance WFuzz avec l’option « -c » pour mettre le résultat en couleur, l’option « -z file » indique le dictionnaire de login ou de mot de passe que je souhaite utiliser, l’option « -d » indique le resulat POST trouvez précédemment avec Burp Suite, j’ai caché intentionnellement l’username » parce que cela fait partie d’un CTF que je suis en train d’essayer de finir 🙂 le « pass=FUZZ », indique au logiciel qui doit trouver juste le mot de passe , et enfin « –hc 200 » je demande à WFuzz de m’indiquer les résultats différents de la réponse « 200 ».

WFuzz ma donner une réponse en « 302 » avec le mot de passe possible qui est « secret » 🙂 je me rends sur le panel d’administration en rentrant mes résultats de mes recherches et je me log …

Voilà 🙂 je suis connecté au panel administrateur, vous serez maintenant faire du brute force avec un dictionnaire de mot de passe et ainsi bypasser la page d’authentification 😉 avec WFuzz .

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *