OTP (One Time Password) viittaa kertakäyttökoodiin. Niitä löytyy pankkitunnuksista, monivaiheisesta kirjautumisesta (tekstarikoodit, tunnistus-sovellukset, yms), ja tämän harjoituksen tapauksessa salasananpalautuksesta.

Brute force -tekniikka viittaa yleensä siihen, että salasanalistojen tms. sijaan käytämme vain raakaa laskentatehoa ja kokeilemme jokaista yhdistelmää numeroita, kirjaimia, jne. mitä on olemassa.

Tässä harjoituksessa on salasananpalautus, jota ei ole tehty kovin turvallisesti. Käyttäjä saa sähköpostissa koodin väliltä 0-9999, ja oikealla koodilla pääsee asettamaan uuden salasanan.

0-9999 on ensinnäkin vähän pieni alue, mutta ennen kaikkea sovellus ei rajoita arvausyrityksiä!

Tilaa admin-käyttäjälle salasanan palautus

Mene palautus-sivulle ja kokeile koodia 0000-9999 kunnes koodi menee oikein.

Vaihda admin-käyttäjän salasana ja kirjaudu käyttäjänä sisään.

Aloita luomalla tiedosto, jossa on riveittäin numerot 0000, 0001... 9999. Voit tehdä sen 

-komennolla voit tarkastaa että tiedosto muodostui oikein.

Kuten salasanojen arvailun, tämänkin voi tehdä hydralla. Prosessi on käytännössä identtinen, käytetään vain https-post-form-moduulin sijasta https-get-form-moduulia (koska kyseessä on GET-pyyntö).

Ensin pitää kuitenkin selvittää, minkälainen HTTP-pyyntö koodin arvailusta tulee, ja taas käytämme ensin omaa tunnustamme koekappaleena ennen kuin yritämme murtautua admin-käyttäjän tilille.

Aloita tilaamalla salasananpalautuslinkki itsellesi: 

Tarkista sitten sähköpostisi, ja klikkaa linkkiä.

Pyynnön voi nähdä jo URL-osoitteesta. Kyseessä on GET-pyyntö, joka ottaa kaksi URL-parametria: email ja code. Vastauksesta löytyy teksti "Reset password", jos koodi on oikea. Käytämme siis F-kirjaimen (F: Fail) sijasta S-kirjainta (S: Success).

Tämä riittää ensimmäiseen hydra-kokeiluun! 

Seuraava vaihe on tilata salasananpalautus admin-käyttäjälle (sähköposti löytyy sovelluksen kirjautumissivulta).

Kun linkki on tilattu, emme tietenkään saa sitä itse, vaan se menee adminille. Mutta tiedämme URL-osoitteen jonka admin saa, emme vain tiedä koodia.

Ajetaan siis hydra uudestaan, tällä kertaa käyttäen adminin sähköpostiosoitetta, ja salasanan sijasta salasanalistaa jonka loimme aiemmin.

Saatko koodin selville? Jos hyökkäys onnistuu, mene selaimella salasananpalautusosoitteeseen ja laita siihen oikea koodi ja sähköposti.

Jos käytät OTP-koodeja, huolehdi että koodi on vähintään 6 merkkiä pitkä, ja että virheelliset arvaukset johtavat mekanismin lukkiutumiseen.

Ennen kaikkea, älä turvaudu OTP-koodeihin ellei käyttäjän tarvitse itse kirjoittaa niitä johonkin. Tällaisessa linkissä on parempi käyttää pitkää, satunnaista arvoa. On myös tärkeä huolehtia siitä että linkki vanhenee, ja ettei sitä voi käyttää kuin kerran.

Palvelun suojaaminen

Onkohan salasanan palautus tehty ihan turvallisesti?

Tässä labrassa pääset harjoittelemaan OTP-koodien arvailua bruteforce -tekniikalla.

OTP-koodien Arvailu Brute Force -Tekniikalla

## OTP-koodi

OTP (One Time Password) viittaa kertakäyttökoodiin. Niitä löytyy pankkitunnuksista, monivaiheisesta kirjautumisesta (tekstarikoodit, tunnistus-sovellukset, yms), ja tämän harjoituksen tapauksessa salasananpalautuksesta.

---

## Brute force

Brute force -tekniikka viittaa yleensä siihen, että salasanalistojen tms. sijaan käytämme vain raakaa laskentatehoa ja kokeilemme jokaista yhdistelmää numeroita, kirjaimia, jne. mitä on olemassa.

---

## Harjoitus

Tässä harjoituksessa on salasananpalautus, jota ei ole tehty kovin turvallisesti. Käyttäjä saa sähköpostissa koodin väliltä 0-9999, ja oikealla koodilla pääsee asettamaan uuden salasanan.

0-9999 on ensinnäkin vähän pieni alue, mutta ennen kaikkea sovellus ei rajoita arvausyrityksiä!

Hyökkäys on siis: 

- Tilaa admin-käyttäjälle salasanan palautus
- Mene palautus-sivulle ja kokeile koodia 0000-9999 kunnes koodi menee oikein.
- Vaihda admin-käyttäjän salasana ja kirjaudu käyttäjänä sisään.

---

## Koodilistan generointi

Aloita luomalla tiedosto, jossa on riveittäin numerot 0000, 0001... 9999. Voit tehdä sen **seq**-komennolla: 

```sh
seq -w 0 9999 > koodit.txt
```

**head**-komennolla voit tarkastaa että tiedosto muodostui oikein.

```sh
head koodit.txt 
0000
0001
0002
0003
0004
0005
...
```

---

## Hydran konfigurointi

Kuten salasanojen arvailun, tämänkin voi tehdä hydralla. Prosessi on käytännössä identtinen, käytetään vain https-post-form-moduulin sijasta https-get-form-moduulia (koska kyseessä on GET-pyyntö).

Ensin pitää kuitenkin selvittää, minkälainen HTTP-pyyntö koodin arvailusta tulee, ja taas käytämme ensin omaa tunnustamme koekappaleena ennen kuin yritämme murtautua admin-käyttäjän tilille.

Aloita tilaamalla salasananpalautuslinkki itsellesi: 

![](sanity:image-c05a511190255d2e1a340586d5fd3016f6309e3e-768x333-png)

Tarkista sitten sähköpostisi, ja klikkaa linkkiä.

![](sanity:image-1ec99cbd5c25e4c876dd9d4222a298992aa9f6a8-496x228-png)

Pyynnön voi nähdä jo URL-osoitteesta. Kyseessä on GET-pyyntö, joka ottaa kaksi URL-parametria: email ja code. Vastauksesta löytyy teksti "Reset password", jos koodi on oikea. Käytämme siis F-kirjaimen (F: Fail) sijasta S-kirjainta (S: Success).

Tämä riittää ensimmäiseen hydra-kokeiluun! 

```sh
hydra -l student@ha-target.com -p 0092 www-vumuovrles.ha-target.com https-get-form "/reset-password:email=^USER^&code=^PASS^:S=Reset password"
```

![](sanity:image-bd1896ca20da90062fba5505328e712c0b705234-868x114-png)

Seuraava vaihe on tilata salasananpalautus admin-käyttäjälle (sähköposti löytyy sovelluksen kirjautumissivulta).

Kun linkki on tilattu, emme tietenkään saa sitä itse, vaan se menee adminille. Mutta tiedämme URL-osoitteen jonka admin saa, emme vain tiedä koodia.

Ajetaan siis hydra uudestaan, tällä kertaa käyttäen adminin sähköpostiosoitetta, ja salasanan sijasta salasanalistaa jonka loimme aiemmin.

```sh
hydra -l stephanie.long@ha-target.com -P koodit.txt www-vumuovrles.ha-target.com https-get-form "/reset-password:email=^USER^&code=^PASS^:S=Reset password"
```

Saatko koodin selville? Jos hyökkäys onnistuu, mene selaimella salasananpalautusosoitteeseen ja laita siihen oikea koodi ja sähköposti.

![](sanity:image-525ae6ad9def65191b812d551d183f59a91dbe3e-812x460-png)

@embed e0aad79c613f

@exercise b21272fccf84


Jos käytät OTP-koodeja, huolehdi että koodi on vähintään 6 merkkiä pitkä, ja että virheelliset arvaukset johtavat mekanismin lukkiutumiseen.

Ennen kaikkea, älä turvaudu OTP-koodeihin ellei käyttäjän tarvitse itse kirjoittaa niitä johonkin. Tällaisessa linkissä on parempi käyttää pitkää, satunnaista arvoa. On myös tärkeä huolehtia siitä että linkki vanhenee, ja ettei sitä voi käyttää kuin kerran.

OTP-koodien arvailu brute force -tekniikalla

Salasanat ovat hirvittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Salasanat ovat hivittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

OTP-koodien arvailu brute force -tekniikalla

OTP-koodi

Hakkeroinnin oppiminen alkaa tästä