2. 程式人生 > 其它 >DVWA靶場-brute force學習筆記

DVWA靶場-brute force學習筆記

阿新 發佈:2020-12-10

技術標籤:安全http經驗分享

文章目錄

low

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user
 
' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false
 
)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {
 
$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

檢視原始碼,可以看到沒有對username和password引數進行任何過濾,直接放入到資料庫中進行查詢(存在萬能密碼漏洞),也沒有對賬戶登入失敗做任何限制(存在暴力破解漏洞)

在win10上訪問靶場,點選Brute Force,隨便輸入使用者名稱和密碼,可以看到burp攔截到資料包

把擷取的資料包發給intruder,修改intruder的引數

選擇攻擊型別,載入字典

  1. 選擇sniper攻擊型別,載入字典 #一個字典,兩個引數分別為admin和123,先匹配第一項再匹配第二項,即先對第一項替換字典中的多個值,保持123不變。
  2. 選擇Battering ram攻擊型別,載入字典 #一個字典,兩個引數,同用戶名同密碼
  3. 選擇Pitchfork攻擊型別,載入字典 #兩個字典,兩個引數,同行匹配,短的截至
  4. 選擇Cluster bomb攻擊型別,載入字典 #兩個字典,兩個引數,交叉匹配,所有可能

Medium


<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

分析原始碼可以看到,對賬戶登入失敗做了時間限制(sleep 2秒),以及用mysql_real_escape_string函式對引數進行過濾, 轉義在 SQL 語句中使用的字串中的特殊字元(簡單防止SQL注入)

暴力破解時間變長,仍然可以暴力破解。

High

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

分析原始碼可以看到程式碼中加入了user_token,每次提交需要將username、password、Login和user_token四個引數一起提交到後臺,因此要想解決每次變化的user_token需要每次重新獲取,破解難度提升

在burp中暴力破解DVWA高階級別(爆破帶有規律性的token驗證)

  1. 抓包,選擇Pitchfork攻擊型別,新增爆破的引數
  2. 在Options中找到Request Engine模組,把執行緒數設為1
  3. 在Options中找到Rediections模組,選擇always,允許重定向
  4. 在Options中找到Grep-Extract模組,點選Add,並設定篩選條件,得到user_token
  5. 在Payloads中為選擇的引數設定字典
  6. 開始爆破,可以成功爆破出賬戶密碼

impossible

無法爆破

相關推薦

DVWA靶場-brute force學習筆記

技術標籤:安全http經驗分享 文章目錄 lowMediumHighimpossible low <?php if( isset( $_GET[ \'Login\' ] ) ) {

DVWA靶場——Brute Force(暴力破解)

靶場搭建 關於靶場的搭建,網上很多教程,我就不講解了,這裡推薦幾個關於如何在kali系統搭建DVWA靶場教程供大家參考:

DVWA靶場通關----(1) Brute Force教程

Brute Force(暴力破解) Brute Force(暴力破解),就是指黑客利用黑客字典,通過窮舉法猜測使用者口令。

DVWABrute Force 暴力破解

暴力破解: ​暴力破解的原理就是是用攻擊者自己的使用者名稱和密碼字典,一個一個去列舉,嘗試是否能夠登入。因為理論上來說,只要字典足夠龐大,不考慮時間來說,列舉總能夠成功的。

DVWA 通關指南:Brute Force (爆破)

目錄Brute Force (爆破)Low Level原始碼審計滲透方法Medium Level原始碼審計滲透方式High Level原始碼審計滲透方式Impossible Level參考資料

DVWA Brute Force:暴力破解篇

DVWA Brute Force:暴力破解篇 前言 暴力破解是破解使用者名稱密碼的常用手段,主要是利用資訊蒐集得到有用資訊來構造有針對性的弱口令字典,對網站進行爆破,以獲取到使用者的賬號資訊,有可能利用其許可權進行一些

vue-hooks學習筆記(含原始碼解讀)

背景 hooks 百度翻譯為鉤子,不要把 Hooks 和 Vue 的 生命週期鉤子(Lifecycle Hooks) 弄混了,Hooks 是 React 在 V16.7.0-alpha 版本中引入的,而且幾天後 Vue 釋出了其概念驗證版本。

JDK原始碼學習筆記——HashMap

JDK版本:13 參考 建議大家直接看這篇,寫的太好了~ 明星文章:美團技術團隊——Java 8系列之重新認識HashMap

SpringBoot學習筆記(二)——Spring周邊生態系統

摘要 在前面的兩篇文章中,分別講解了Spring的IOC容器原理,以及如何從零開始建立一個Spring容器。但是實際工作中,光有這些肯定是不夠的,還需要在這個基礎上再擴充套件資料庫、Redis快取、訊息佇列等。所以接下來

分散式系統系列學習筆記:MapReduce程式設計模型(附程式碼實現)

作者:小羊編輯:韓數 大家好,我是韓數,本文的作者是我的好朋友小羊,本次呢,特地邀請小羊大神來撰寫大資料系列的高階教程,隨著大資料的發展,越來越多優秀的開源框架逐漸進入到我們開發者的生活中,包括hadoop,

CMake學習筆記(一)基本概念介紹、入門教程及CLion安裝配置

什麼是構建系統 在軟體開發中,構建系統(build system)是用來從原始碼生成使用者可以使用的目標的自動化工具。目標可以包括庫、可執行檔案、或者生成的指令碼等等。

資料倉庫學習筆記(一)

美團OneData數倉 source: tech.meituan.com/2019/10/17/… Terms OneData: 阿里巴巴提出的數倉建設標準

資料倉庫學習筆記(二)

這一系列主要是美團18年一年的大資料相關的文章分享,倒序。 從中可以看到美團的實時資料系統架構從Storm到Flink的轉變和選擇。

RabbitMQ學習筆記(1)----訊息佇列

參考網址: 1. https://www.jianshu.com/p/689ce4205021 2. https://zhuanlan.zhihu.com/p/52773169 3. https://juejin.im/post/5cb025fb5188251b0351ef48#heading-2

iOS UIView的學習筆記

UIView UIView為螢幕上的矩形區域管理內容的物件。檢視是應用程式使用者介面的基本構建塊,UIView類定義了所有檢視通用的行為。檢視物件呈現其邊界矩形內的內容,並處理與該內容的任何互動。

RPC學習筆記

什麼是RPC? Remote Procedure Call Protocol,遠端過程呼叫。 什麼是“遠端”? 先來看下什麼是“近”,即“本地函式呼叫”。

JDK11的ZGC的回收過程-學習筆記

前兩天看到一篇不錯的文章,連線在這裡:聽R大論JDK11的ZGC,文章寫的很不錯,能夠說明白ZGC的整個過程。

「Go學習筆記」1.初識Go

前言 由於在公司廣泛使用Docker的大環境下,突然對它的程式語言(Go)瞭解下。並且感覺現在Go語言的應用也是越來越廣泛,很多網際網路大廠都在使用,目前利用業餘時間來學習下,主流還是Java,學明白以後可能考慮轉哦

Linkerd2 proxy destination 學習筆記

作者: 嘩啦啦 mesh團隊,熱衷於kubernetes、devops、apollo、istio、linkerd、openstack、calico 等領域技術。

JDK原始碼學習筆記——ArrayList

JDK版本:13 1 類圖 1.1 實現介面 java.util.List:提供增刪改查等基本操作 java.io.Serializable:標記介面,表示支援序列化