DVWA靶场通关(2023)

已于 2024-02-23 03:58:05 修改
阅读量2k 收藏 55
点赞数 50
文章标签: android
于 2024-02-23 03:56:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80548709/article/details/136140873
版权

Brute Force

1.

这道题是爆破用户名,以及密码,其实就是通过burp软件来爆破

抓包成功!

接下来爆破

修改这两个值,进行爆破,正确导入字典后,开始爆破.

因为已经知道了答案,我们可以让爆破的数量少一点,

 找到数量不一致的,得到结果

2.

第二种,主要区别在于我们必须休眠两秒,才能继续.所以

让它休眠2000ms就欧克了

为了方便,我就将正确答案置于了顶端,可以发现,我们的爆破可以保证全为200的状态码

3.

第三题,通过查询得到,主要增加了token值,这个东西 

从源代码中,可以得知,我们每次登陆一次就会产生一个token值,在开头会有一个检查的过程,所以要绕过这个东西就需要变换爆破方式:

其实就是需要每一个密码都找到对应的token值

添加密码和token值为载荷:

选择pitchfork爆破

上面是分辨特征模块

选择递归搜索,输入第一次的token值,开始爆破,注意只能单线程而且时间需要在3000ms左右

 

得到答案

Command Injection

1.这个题,需要我们输入一个ip地址

当我们输入127.0.0.1时,我们可以发现:

获得了这样一个ping命令的结果,所以,我们现在将它绕过,通过逻辑运算符

& :前面一个命令无论是否执行,后面的命令都能执行,两个命令都执行
&&:前面一个命令执行成功后,才能执行后面一个命令,两个命令都执行
|:前面一个命令无论是否执行,后面的命令都能执行且只执行后面一个
||:前面一个命令不能正常执行后,才能执行后面一个命令

这里我们使用   |  就可以了.

任意命令都可以输入了!

2题和3题都是一样,只是添加了几个黑名单:

但是,|加了一个空格,所以,一样的都可以直接使用|

Cross Site Request Forgery (CSRF)

1.

这个题的目的是不通过本身题目给出的地方更改密码,而是通过了解更改密码的步骤,从其他地方进入更改密码的阶段.

我们可以看到,我们需要更改密码,顶上的url就会变化:

所以我们如果新建一个空页面,以这个格式来进行更改密码:

首先我们先做一个诱导的网站按钮

burp上抓包后可以直接复制简易代码

 

点击后,就可以更改密码了

2....

File Inclusion

1.

首先,我们可以看见此题是通过get传参来完成访问文件的,同时,经过实验发现,后缀不是php的会原封不动的打开文件,而php结尾的文件会正常执行.我们首先创建一个文件,让其访问这个文件如果可以打开,就说明可以执行我们需要的代码

执行成功!

2.

通过观察源代码,我们可以发现,他过滤了http://", "https://,../", "..\\的过滤

但是我们的文件中没有,所以无影响.

3.

现在发现找不到了,返回看源代码.

if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

这段代码告诉我们,必须以file开头,所以,我们可以使用file协议

file 协议是一种用于访问本地文件系统资源的URL协议。它允许通过URL来引用计算机上的本地文件

file:///path/to/your/file.txt
于是,我们只需要在我们文件路径以前加上file://就可以了

File Upload

1.首先准备一个PHP文件(可以承载一句话木马),里面任意来一句php代码就可以了

直接就成功上传了.

2.

要求我们上传一个jpeg或png格式的文件,我们可以做一张图片马,因为dvwa靶场中有文件包含的题,满足条件,

然后我们上传一下:

乱码加上执行phpinfo()函数说明成功了,但是注意,源代码中的图片不允许超过10000字节,否则上传不成功!

3.

3题看了源代码后发现同样可以这样做出来,同样是上传一个图片马,与二题解题过程完全一致!

Vulnerability: SQL Injection

1.

可以看见,输入1 and 1=2 不会报错,确定是字符型,需要闭合,

输入1",不会报错,而输入1'报错了,确定闭合类型为单引号.

order by run出列数.

跑到第3列报错了,说明只有3列

database()跑出数据库名.

.....

Vulnerability: SQL Injection (Blind)

1.

没有特别的回显,观察源代码只出现exists和missing,确定需要盲注

首先确定数据库的长度:

1' and length(database())>10 #----------MISSING

1' and length(database())>5 #----------MISSING

1' and length(database())>3 #----------exists

1' and length(database())>4 #----------MISSING

确定数据库长度为4.

输入语句(SUBSTR(string, start, length)),分别找到每一个字符

1' and ascii(substr(database(),1,1))>97#

exits

库名的第一个字符大于a

1' and ascii(substr(database(),1,1))<122#

exits

库名的第一个字符小于z

1' and ascii(substr(database(),1,1))<104#

exits

库名的第一个字符小于h

1' and ascii(substr(database(),1,1))<100#

MISSING

库名的第一个字符不小于d

1' and ascii(substr(database(),1,1))<101#

exits

库名的第一个字符小于f

1' and ascii(substr(database(),1,1))=100#

exits

库名的第一个字符等于d.

最后得到数据库名为dvwa

获得表的个数:

1' and (select  count(table_name) from information_schema.tables where table_schema='dvwa')=2#

获得两个表的长度

1' and length((select table_name from information_schema.tables where table_schema='dvwa' limit 0,1))=9#
1' and length((select table_name from information_schema.tables where table_schema='dvwa' limit 1,1))=5#

然后判断字段个数

1' and (select count(column_name) from information_schema.columns where table_schema='dvwa' and table_name= 'users') =8#

.......

这时候可以猜测字段名为"username","password"啥的,也可以继续通过limit,substr判断长度和字符

综上所述,实际上简单的盲注就是在简单的sql注入中,通过先猜长度,再通过ascll码判断每一个字母

2.

2题禁止了我们输入

但是我们可以通过burp抓包,然后更改,过程与1题一致.

3.

 这里跳出来一个窗口进行验证,观察源码可以知道有一个LIMIT 1限制一次查询的限制,但是我们不用管,因为我们每次输入都会加上#,所以不影响,同时我们还可以看见有一个sleep(),在出现MISSING后,也没关系,我们上面的还是可以用,只是错了会延迟小几秒.

<?php

if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

            $exists = false;
            if ($result !== false) {
                // Get results
                try {
                    $exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
                } catch(Exception $e) {
                    $exists = false;
                }
            }

            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }

        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
}

?>

Vulnerability: Weak Session IDs

1.

这里是cookie值是弱保密

我们直接抓包

 发现phpsessid没变,dvwasession递增,从而得知规律,于是我们直接复制cookie,退出登录,无密码登陆

2.

通过源代码可以发现,通过时间来生产dvwaSession

时间戳在线转换工具

用这个工具转化一下,其余步骤一致,

3.

源代码与1题类似,但是多出来了一步md5加密,我们也将dvwaSession  md5加密了就OK

Vulnerability: DOM Based Cross Site Scripting (XSS)

1.

先看源码,啥也没有,再看url

 出现default的参数,我们直接将其改为出现一个弹窗<script>alert(1)</script>

2.

由于代码过滤掉了 <script ,所以我们尝试输入</select><img src=x οnerrοr=alert(1)>
(onerror 事件在加载外部文件(文档或图像)发生错误时触发,所以当图片的src属性值不存在时,会触发alert()警告消息框)前提需要闭合select

3.

看源代码,通过switch函数将不是选项外的所有全过滤了,

但是它只检查了default参数,只需要用&,上传两个参数上去就欧克

English&<script>alert(1)</script>.

Vulnerability: Reflected Cross Site Scripting (XSS)

1.

我们随便输入一个数字,直接就输出了

所以我直接输入<script>alert(1)</script> 

直接就跑出来了.

2.

源代码出现:

str_replace( '<script>', '', $_GET[ 'name' ] );

我们可以大写绕过

 3.

preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] )

通过正则表达式匹配,将<script>中出现的全替换为' '.

所以,,我们用刚刚使用过的<img src="#" οnerrοr=alert(1)>   onerror事件就可以了.

Vulnerability: Stored Cross Site Scripting (XSS)

1.

trim() 函数移除字符串两侧的空白字符或其他预定义字符。返回已修改的字符串。

stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。

mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。

输入数据储存,没有过滤和检查

所以直接输入 <script>alert(1)</script> 尝试

2.

注意name有长度限制,message的过滤太严格,我们从name角度出发,只需要大写绕过就可以了

3.

name的过滤,全是针对<script>标签的,所以我们直接用其它标签就可以了

比如onerror事件<img src="#" οnerrοr=alert(1)> .

Vulnerability: Content Security Policy (CSP) Bypass

1.

从源代码可以找到可以执行的外部站点

https://pastebin.com/raw/R570EE00 https://www.toptal.com/developers/hastebin/raw/cezaruzeka

访问过后,pastebin是一个可以将js代码包裹进去的文本编译器,

img编辑

在这上面可以携带我们的代码,跑出链接,然后返回靶场包裹即可.

2.

unsafe-inline:当csp有Unsafe-inline时, 并且受限于csp无法直接引入外部js, 不过当frame-src为self, 或者能引入当前域的资源的时候, 即有一定可能能够引入外部js。nonce-source,仅允许特定的内联脚本块。

所以我们直接输入源码中注释的内容就可以了 <script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script>。

img编辑

3......

Vulnerability: JavaScript Attacks

1.

通过输入不同的内容抓包两次,发现token值都是一致的.

img编辑

img编辑

通过观察源代码,可以发现

img编辑 经过了两次加密,但是token值不变,说明是前端生成的,所以,我们打开控制台,先在输入框输入success,再在控制台运行函数,提交成功!

img编辑

2.

生成token的函数放在单独的js文件中,生成的方式是将XX+phrase+XX字符串反过来作为token

我们通过抓包success

img编辑

还是changeme,说明还是前端,于是我们输入success,控制台运行函数,成功!

img编辑

3.

看到js是乱码,需要使用还原工具得到还原后的关键代码如下

function do_something(e) { for (var t = "", n = e.length - 1; n >= 0; n--) t += e[n]; return t } function token_part_3(t, y = "ZZ") { document.getElementById("token").value = sha256(document.getElementById("token").value + y) } function token_part_2(e = "YY") { document.getElementById("token").value = sha256(e + document.getElementById("token").value) } function token_part_1(a, b) { document.getElementById("token").value = do_something(document.getElementById("phrase").value) } document.getElementById("phrase").value = ""; setTimeout(function() { token_part_2("XX") }, 300); document.getElementById("send").addEventListener("click", token_part_3); token_part_1("ABCD", 44);

方法:

输入框输入success,控制台依次执行 token_part_1("ABCD", 44) 和 token_part_2("XX"),最后点击提交执行token_part_3()

img

成功.

Vulnerability: Authorisation Bypass

1.

登陆他给的账号发现没有了刚刚的页面

 没有任何过滤,也就是,只要输入url,谁都可以访问页面.

直接接上vulnerabilities/authbypass/

可以看见,旁边没有选项,但是页面出现了.

2.

可以看见源代码有过滤,必须用户名是admin

尝试直接访问/vulnerabilities/authbypass/get_user_data.php以浏览返回的用户数据.

3.

.......

Open HTTP Redirect

1.

源代码就是一个简单的判断get传参的redirect是否存在,存在就会重定向的指定网站

可以看到,源代码的路径

只需要输入这个路径,再给redirect传参即可 

2.

源代码 加入了对路径是否为绝对路径的判断

代码阻止我使用绝对 URL 将用户带离网站,因此可以使用相对 URL 将他们带到同一网站上的其他页面,也可以使用相对于协议的 URL。

输入url浏览http://dvwa2/vulnerabilities/open_redirect/source/medium.php?redirect=//digi.ninja

3.

源代码只检查了,参数里面是否有字符串info.php

因为百度是一个搜索引擎,我们可以直接在百度搜索info.php,也就是我们所需要的字符串给输进去

出现一串url    https://www.baidu.com/s?wd=info.php

因为没有对绝对路径的剥离,所以满足条件只需要?redirect=https://www.baidu.com/s?wd=info.php即可!!!!(真是太nb了)

run出来了!!!! 

瓜农ynnddddd
关注
  • 50
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA靶场通关实战
qaq517384的博客
11-28 2054
Brute Force Command Injection CSRF File Inclusion File Upload Insecure CAPTCHA SQL Injection SQL Injection Weak Session IDs XSS (DOM) XSS(Reflected) XSS(Stored) CSP Bypass JavaScript
kali2021.3安装dvwa靶场
02-24
标题中的“kali2021.3安装dvwa靶场”是指在Kali Linux 2021.3版本中安装DVWA(Damn Vulnerable Web Application)的过程,这是一个广泛用于Web安全学习和实践的模拟靶场。描述中提到,这个教程是为刚接触Kali的爱好...
DVWA 靶场 CSP Bypass 通关解析
最新发布
Flag少侠的博客
06-22 7603
内容安全策略(Content Security Policy,CSP)是一种用于防止跨站脚本(XSS)和其他代码注入攻击的安全机制。通过设定 CSP 头,网站可以指定哪些资源可以加载和执行。然而,即使有 CSP,攻击者有时仍然能找到方法绕过这些策略进行攻击。以下是对 CSP 绕过(CSP Bypass)的详细介绍,包括其原理、常见技术、攻击手法、防御措施以及实例分析。一、CSP 绕过原理CSP 绕过的核心在于找到策略配置中的漏洞或利用其他技术手段,使恶意代码能够在受保护的网站上执行。策略配置错误。
DVWA靶场通关(CSRF)
m0_56010012的博客
04-05 3151
CSRF(Cross-site request forgery),翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。而最常见的就是QQ空间的登陆。 CSRF属于业务逻辑漏洞,服务器信任经过身份认证的用户。 XSS属于技术漏洞,客
DVWA 靶场 Authorisation Bypass 通关解析
Flag少侠的博客
06-21 8664
授权绕过(Authorisation Bypass)是一种严重的安全漏洞,攻击者通过利用系统的漏洞或错误配置,绕过正常的访问控制机制,获得未经授权的访问权限。这种漏洞可能导致敏感信息泄露、数据篡改、系统破坏等严重后果。以下是对授权绕过的详细介绍,包括其原理、常见类型、攻击手法、防御措施以及实例分析。一、授权绕过原理授权是指系统在确定用户身份后,根据用户的权限授予相应的资源访问权。授权绕过发生在系统错误地允许未经授权的用户访问受保护的资源时。错误的访问控制逻辑:开发人员在实现访问控制时存在漏洞或错误。
dvwa靶场通关教程(保姆及教学,一看就会)
m0_69043895的博客
04-05 5872
可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。让通过验证的情况增加了一种。回到payload,选择第二个爆破点,选择递归模式,recursive grep,设置初始值。看源代码可以发现,不仅限制了文件类型,而且限制了大小,不能少于100kb。可以看到,靶场对文件类型做了限制,只允许上传png、jpeg,并且检查。
DVWA靶场通关教程】
AuroraMiraitowa的博客
02-21 2677
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。一般 Low 级别基本没有做防护或者只是最简单的防护,很容易就能够渗透成功;
DVWA靶场通关
Yu3511606536的博客
07-22 529
DVWA靶场通关
DVWA靶场通关记录
2301_80337881的博客
02-21 1166
这个难度我们可以直接用burp抓包爆破,这里我们假装知道用户名为admin然后去爆破密码(只是少了一遍重复过程)。然后我们输入用户名和随便输个密码,接下来用burp抓包,,然后发送到intruer,我们然后选定要爆破的区域(密码),然后设置字典和线程接着就该开始爆破了,然后我们就能找到密码了就是password。
dvwa靶场通关之sql injection
07-19
dvwa靶场通关之sql injection
DVWA靶场源码分享
12-11
DVWA(Damn Vulnerable Web Application)靶场是一个用于网络安全教育的开源Web应用程序。它由Chris Evans创建,旨在帮助安全专业人员、开发人员和学生通过实践来学习和理解常见Web应用程序安全漏洞。DVWA靶场提供了...
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
DVWA靶场搭建与使用
09-02
**DVWA靶场搭建与使用** DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专门为网络安全专业人员、开发人员和学生设计,用于学习和练习常见Web应用漏洞的识别和利用。它提供了多种安全漏洞的...
dvwa靶场通关(一)
qq_65950075的博客
05-24 1349
账号是admin,密码随便输入用burp suite抓包爆破得出密码为password登录成功中级跟low级别基本一致,分析源代码我们发现medium采用了符号转义,一定程度上防止了sql注入,采用暴力破解也可以完成,在此不过多描述。
DVWA靶场通关(Brute Force)
m0_56010012的博客
03-11 220
Brute Force暴力破解模块,是指黑客密码字典,使用穷举的方法猜出用户的口令,是一种广泛的攻击手法。常见用于用户登录,密码输入等。 LOW 采用burpsuite拦截数据包,在数据包中设置参数,得到密码。 (1)设置爆破位置,由题目知道用户名为admin,因而我们需要在标记1处设置password的参数。 (2)选定爆破字典,由于我们事先保存了一些密码字典,将其导入到burpsuite中。 (3)点击start attack,开始漫长的等待,这一过程花销的时间很长。 (..
dvwa靶场
charon145的博客
02-04 357
一.暴力破解 low: 分析源码 判断这两个值是否都不为空 先输一个错误的密码 ​ 构造admin' or '1'= '1 变成$ query = "SELECT * FROM ’users‘ WHERE user = ’admin' or '1'= '1’AND password = ' ';" 用or把语句截断为两部分,查询到账号即有效,语句判断为真,登陆成功 2.medium mysqli_real_escape_string: 不能使用单引号,low的绕过..
DVWA靶场通关(File Upload)
m0_56010012的博客
03-17 1166
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 题目描述 常规的文件上传操作: 客户端上传: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8
DVWA靶场——通关(初级)
小白一枚多多关注的博客
01-20 4347
前几天我们已经将DVWA靶场部署好了,这次我们将着手对这个模拟渗透靶场进行演练,这次只是初级的难度,为了是让各位对这些漏洞有一些初步的概念 实验环境: DVWA phpstudy firefox浏览器 brup 1.先将phpstudy打开并且启动后用浏览器访问127.0.0.1/dvwa,进入登陆界面登陆,然后单击左边列表中的“DVWA Security”选项,在右边的下拉列表中选择“low”后单击submit按钮就能更改靶场难度 2.先介绍一下吧,这里左边从Brute Force到Xss(Sto
DVWA靶场初级难度通关
glass_york的博客
10-17 449
DVWA初级通关
dvwa靶场通关教程
07-28
当然,下面是一些关于DVWA靶场通关的指南: 1. 获取DVWA:首先,你需要下载和安装DVWA(Damn Vulnerable Web Application)。你可以在官方网站上找到最新版本的下载链接。 2. 配置DVWA:安装完成后,你需要进行一些配置。打开DVWA的安装页面,在那里你可以设置数据库连接等信息。确保你已经正确设置了所有必要的配置项。 3. 注册和登录:完成配置后,你需要注册一个新用户并登录DVWA。默认情况下,用户名是admin,密码是password。请尽快修改密码以确保安全性。 4. 熟悉靶场DVWA提供了多个不同安全级别的漏洞和挑战。你可以从低级别开始,逐渐提高难度。熟悉每个漏洞类型,了解其背后的原理和攻击方式。 5. 攻击和解决漏洞:使用各种技术和工具来攻击DVWA中的漏洞。例如,你可以尝试使用SQL注入、跨站脚本(XSS)、文件上传漏洞等进行攻击。在攻击过程中,了解攻击原理并尝试解决这些漏洞。 6. 学习和改进:参考文档、教程和其他资源来学习有关DVWA漏洞和安全性的更多知识。尝试不同的攻击方法,并思考如何防止这些攻击。 请注意,在进行DVWA靶场的攻击和解决漏洞时,务必遵守法律和道德规范。只在合法的环境中进行实践,并始终保持对系统和数据的尊重。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值