用户名枚举

要破解用户/密码验证机制的第一步是发现有效的用户名。方法之一是通过枚举，枚举web应用程序中的用户是通过分析在登录、注册和密码恢复页面等位置提交用户名时的响应来完成的。 

在实验中，将使用一个普通用户名列表向应用程序提交多个请求，并通过比较响应来确定哪些提交的名称属于现有用户。

1. 靶场&靶机

靶场：OWASP BWA

靶机：WebGoat

Kali Linux上使用Burp Suite作为代理。

几乎所有的应用程序都为用户提供了在忘记密码时恢复或重置密码的渠道。当不存在用户名时，这些应用程序也能识别出来，这可以用来枚举出的方式，现有名称的列表：

2. 在kali linux中开启Burp Suite Community Edition，并打开BP的Chromium浏览器。

Chromium登录：http://192.168.74.132/WebGoat/attack

登录过程中使用的用户名和密码是：webgoat，

​

 ​

​ 

​ 

​ 

​ 

​ 

​ 

​ 

 3. 进入WebGoat后，点击start

​

 4. 点击Authentication Flaws，会出现Forgot Password等下拉菜单

​

 5. 选择Forgot password，弹出输入User Name的页面，如果没有可以点击Restart this Lesson

 ​

 6. 提交任意用户名（例如xshell），而该用户在数据库中不存在，将收到一条消息，说该用户名无效：

​

 

7. 然后可以假设，当提供了有效的用户名时，响应是不同的。下面要对此进行测试，请将请求发送Intruder模块。

在Burp的Proxy/HTTP history中，我们找到刚才输入User-name是xshell的那个数据包，如下图示：

​

 8. 对该数据包单机右键选择Send to Intruder

​

 

9. 进入Intruder模块，设置用户名作为唯一要破解的位置：

9.1 点击Clear§

​

 

9.2 在最后一行，Username=xshell处，选择xshell，在点击Add§按钮

 

 10. 转到Payloads来设置将在攻击中使用的用户字典列表。Payload type保持默认类型为Simple list简单列表，然后单击Load按钮来加载 /usr/share/wordlists/metasploit/http_default_users.txt文件：

 11. 现在知道了用户不存在时的响应，可以使用Burp告诉该消息何时出现在结果中。转到    Intruder | Settings | Grep – Match，全选列表内容，点击Remove清除列表。

 

 

 12. 勾选Flag result items with responses matching these expressions，

再输入Not a valid username，然后点击Add。

 

13. 返回Intruder | Positions，点击Start attack，开始攻击。

请注意，有一些名称（如admin），其中无效用户名的消息没有使用Burp Suite标记，这些名称在应用程序中是有效的：

 

总结：

在本次实验中，我们不难发现，如果正在测试一个需要用户名和密码才能执行操作的web应用程序，需要寻找攻击者发现有效的用户名和密码的方法。在登录、注册和密码恢复页面中，对有效和无效用户的响应稍有不同，就会让找到一个有效信息。 分析对类似请求的响应差异是作为渗透测试人员需掌握的技能。可以使用Burp Suite等代理工具来记录原始请求，Intruder模块通过变量（用户名）的值的变化多次重放该请求。Intruder模块还允许自动搜索回包字符串，并指示在哪个响应中找到该字符串。