Tutoriel WFuzz – Bypasser un Panel Administration

Je vous présente aujourd’hui un nouveau logiciel qui est installé par défaut sous Kali-Linux qui se nomme WFuzz.

WFuzz est un logiciel qui a des multiples fonctions comme par exemple de brute forcée un des répertoires ou encore de trouver des noms d’utilisateurs et des mots de passe :).

Voici comment lancer WFuzz et voir ses options :

Nous allons essayer de brute forcée le panel administration pour pouvoir se connecter et ainsi infiltrer le site web 🙂 . Attention se teste et effectué sur mon réseau local, il est interdit de faire ceci sur un site qui ne vous appartient pas.

Grâce à BurpSuite je vais récupérer les données POST pour pouvoir les intégrer dans WFuzz.

Je rentre un identifiant et un mot de passe (test,test) puis je lance une connexion :). Une fois toutes les informations récupérées, nous allons lancer maintenant WFuzz.

Donc j’explique la commande ci-dessus. Je lance WFuzz avec l’option “-c” pour mettre le résultat en couleur, l’option “-z file” indique le dictionnaire de login ou de mot de passe que je souhaite utiliser.

L’option “-d” indique le resulat POST trouvez précédemment avec Burp Suite. J’ai caché intentionnellement l’username” parce que cela fait partie d’un CTF que je suis en train d’essayer de finir :). Le “pass=FUZZ”, indique au logiciel qui doit trouver juste le mot de passe.

Et enfin “–hc 200” je demande à WFuzz de m’indiquer les résultats différents de la réponse “200”.

WFuzz ma donner une réponse en “302” avec le mot de passe possible qui est “secret” :). Je me rends sur le panel d’administration en rentrant mes résultats de mes recherches et je me log …

Voilà 🙂 je suis connecté au panel administrateur, vous serez maintenant faire du brute force avec un dictionnaire de mot de passe et ainsi bypasser la page d’authentification 😉 avec WFuzz .

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *