DVWA之Brute Force,Command Injection全关解析

最新推荐文章于 2024-08-29 09:39:53 发布
最新推荐文章于 2024-08-29 09:39:53 发布
阅读量94 收藏
点赞数
文章标签: 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ANDTM/article/details/130573734
版权
本文详细分析了从LOW到HIGH三个级别的网络安全防护,包括密码爆破、SQL注入防御和命令注入。LOW级存在明显的SQL注入漏洞,可使用Bruteforce工具进行爆破;MEDIUM级增加了SQL参数过滤,但可以通过其他字符绕过;HIGH级引入了CSRFToken和更多防御措施,但仍有命令注入的潜在风险。针对这些情况,文章讨论了相应的攻击手段和防御策略。
摘要由CSDN通过智能技术生成

Brute Force

LOW级

查看源码

下面展示一些 内联代码片

下面展示一些 内联代码片

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

LOW级源码可以看出没有任何防护措施,我们甚至可以用SQL注入进行攻击,但这里先说爆破,爆破需要用到brupsuite,抓包。

抓包

具体如何抓包这里就不做过多解释,前面的文章也有提到,抓到的包如下:在这里插入图片描述
右击发送到Intruder在这里插入图片描述
如图,用§包住的就是我们要爆破的目标,我们先清除所有的§,这次我们要爆破出密码,就只给密码进行标记在这里插入图片描述
在这里插入图片描述
之后选择爆破类型,不同的爆破类型将字典中的数据替换到标记位置的方式也会有所不同,在LOW级难度里我们用Sniper,它的规则是把字典中的字符串一个一个替换到我们前面标记的位置进行爆破。
在这里插入图片描述
之后添加字典
在这里插入图片描述
开始爆破在这里插入图片描述
当密码正确是,反应时间会有所不同,根据反应时间的不同我们可以确定密码为password
在这里插入图片描述

Medium级

查看源码

下面展示一些 内联代码片

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

我们会发现多了一行
下面展示一些 内联代码片

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

isset() 函数用于检测变量是否已设置并且非 NULL。返回TRUE。若变量不存在则返回 FALSE(错误),若变量存在且其值为NULL(无效),也返回 FALSE,若变量存在且值不为NULL,则返回 TURE(真),同时检查多个变量时,每个单项都符合上一条要求时才返回 TRUE,否则结果为 FALSE
is_object() 函数用于检测变量是否是一个对象
mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。返回已转义的字符串
最后一旦密码错误会延迟两秒,这个会增加我们的爆破时间,但是依然是可以爆破出来的,方法同Low级一样

High级

查看源码

下面展示一些 内联代码片

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

我们可以看到加上了Token值, stripslashes(string)是去除掉string字符的反斜杠\,使用了stripslashes函数和mysqli_real_esacpe_string来抵御SQL注入和XSS的攻击。而对于Token,Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

爆破

爆破模式Attack type选用Pitchfork,Pitchfork对每个标记字段单独设置字典,按照一一对应的关系取最少的组合
在这里插入图片描述
求包与自己的响应包有对应顺序,需要单线程,在Resource pool中添加一个单线程,线程数量修改为1。在这里插入图片描述
在Options选项中,找到Grep Extract栏,添加一个从响应包中的提取规则。点击Add,并从响应报文中找到对应的token信息位置,选中之后会自动生成匹配规则,然后点击OK确定。确定之后会在Grep-Extract列表中出现这一规则。
在这里插入图片描述在这里插入图片描述

之后设置字典,选择类型为递归,就是说前一次爆破产生的token将继续用在下一次,递归查询:从response中提取数据 user_token 的,然后去替换我们爆破的值在这里插入图片描述
Set1的设置和LOW级一样在这里插入图片描述
之后就可以开始爆破

Command Injection

Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。黑客如果能够利用命令执行漏洞,那么黑客就可以像电脑用户控制自己电脑一样,自由地对电脑进行操作,就好像通过CMD进行对计算机进行操作

LOW

查看源码在这里插入图片描述

可以看到这里直接将target 变量放入 shell_exec()执行ping命令,没有进行任何过滤,用户端可以直接拼接特定的命令,来执行并获取想要的信息。
A; B //A不论正确与否都会执行B
A&B //A后台运行,A和B同时执行
A&&B //A执行成功后才会执行B
A|B //A执行的输出结果作为B命令的参数,A不论正确与否,都会执行B
A||B //A执行失败后才会执行B命令

直接输入127.0.0.1&&ipconfig,可以看到把IP信息也显示出来了,之后我们甚至可以127.0.0.1&&ping baidu.com ,想干嘛干嘛
在这里插入图片描述

Medium级

在这里插入图片描述
这里设置了黑名单过滤规则,但是只过滤了两种字符’&&’ 和’;',我们可以用&,||等进行绕过
在这里插入图片描述

High级

在这里插入图片描述
看上去,似乎敏感的字符都被过滤了,但是 | 明显后面有个空格,所以如果不使用空格的话依然可以绕过:
在这里插入图片描述

纳纳乌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA使用教程(Brute Force)(一)
ai_64的博客
06-09 2万+
DVWA使用教程(Brute Force)(一) DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是 1.Brute Force(爆破) 2.Command Injection(命令注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含) 5.File Uplod(文件上传) 6.Insecure CAPTCHA(不安全的验证码) 7.SQL...
【记录】BurpSuite之Grep-Extract
weixin_30338461的博客
10-16 1011
借助一次sql注入来说明Grep-Extract的作用 要报出当前数据库中所有表名,这里可以有多种方法,我借助limit语句,以此来说明Grep-Extract的用法。 转载于:https://www.cnblogs.com/peterpan0707007/p/7676818.html...
DVWA靶场-Brute Force暴力破解
mlws1900的博客
03-12 1703
具体来说,它使用了mysqli_real_escape_string()函数对用户输入的用户名进行转义,确保特殊字符在SQL语句中不会被误解为SQL语句的一部分,从而保护数据库安全。进入暴力破解的界面,有点基础的都知道,在bp中通过字典,导入用户名和密码进行爆破,这样的操作大家见多了,再写没啥意思,想看的可以去pikachu靶场的暴力破解去了解具体操作,本文主要结合代码进行分析。3.high-高等安全等级,有安全措施保护,是中等安全等级的加深,这个等级下的安全漏洞可能不允许相同程度的攻击。
DVWABrute Force
谢公子的博客
08-04 1445
DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请...
【工具-DVWADVWA渗透系列一:Brute Force
qqchaozai的专栏
10-17 5546
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
DVWA Brute Force | Command Injection | CSRF | File Inclusion | File Upload | Insecure CAPTCHA
qq_46874275的博客
03-27 282
~目录~开始Brute ForceLow 开始 Brute Force Low
新手指南:DVWA-1.9全级别教程之Brute Force
weixin_50464560的博客
03-19 399
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brut
DVWA TOP 10 整理集——Brute_ForceCommand Injection,CSRF,File Inclusion,File Uplod(更新中....)
小羊的博客
09-30 1302
一.Brute_Force Brute_Force High 将DVWA调至high级别,发现用之前的暴力破解就不好使了,因为其使用了随机token机制来防止CSRF,从而在一定程度上防止了重放攻击,增加了爆破难度。但是依然可以使用burpsuite来爆破。 1. 将登录请求进行拦截,发现增加了user_token参数,所以爆破要选择三个参数来进行,先将请求发送到intruder(测试器)。 2.攻击模式选择Pitchfork(音叉),清除所有变量,并分别添加username、&amp.
DVWA全级别教程学习及备课笔记:之Brute Force
lm19770429的专栏
09-23 469
DVWA全级别教程学习及备课笔记:之Brute Force
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)
ElsonHY的博客
11-29 947
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)前言0x01 Brute Force(暴力破解)CLASS:LOWCLASS:MEDIUMCLASS:HIGHCLASS:IMPOSSIBLE 前言 最近在复习一些基础的常见web漏洞,经典的靶机大家肯定最先想到的就是DVWA了,我用的是1.10版本,目前里面的题型包括了14个专题板块,题目难度也分为低(low)中(medium)高(high)和不可能(impossible)几个等级。 Brute Force(暴力破解
DVWA使用教程(Command Injection)(二)
ai_64的博客
06-15 8491
DVWA使用教程(Command Injection)(二) DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是 1.Brute Force(爆破) 2.Command Injection(命令注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含) 5.File Uplod(文件上传) 6.Insecure CAPTCHA(不安全的验...
DVWA-1.9系列操作之Command Injection
fly小灰灰的专栏
01-22 1586
DVWA-1.9系列操作之Command InjectionDVWA-1.9系列一共分为10个功能模块: Brute Force(暴力破解) Command Injection(命令行注入) CSRF(跨站请求伪造) File Inclusion(文件包含) File Upload(文件上传) Insecure CAPTCHA(不安全的验证码) SQL Injection(SQL注入) SQL In
DVWA大详解
gankjk的博客
11-20 5816
Brute Force(暴力破解) 这一关就是要用暴力破解 我们随便输入账户密码,用burp抓包右键点击send to intruder发送到爆破模块开始爆破。 选择positions然后经过下图一系列的设置 选择payloads,点击load添加自己的字典更换为payloads2后继续选择自己的字典最后点击start attack开始爆破。这里长度不一样,爆破成功,尝试登录登录成功 Vulnerability: Command Injection(命令注入) 命令注入攻击的目的是注入和执行攻击者在易受攻击
Linux网络编程——C/C++Web服务器(二):IO多路复用select/poll/epoll实现服务器监听多客户端事件
GIS热爱者
08-26 1450
同步IO多路复用——使用select/poll/epoll实现服务器同时监听多客户端的事件,通过单线程循环处理事件。分别介绍与对比了select、poll和epoll的实现流程、代码和改进的地方。
服务器远程管理
m0_64827698的博客
08-26 1216
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
服务器被渗透的表现及检测方法
@云安全小杜
08-23 927
本文将详细介绍服务器遭受渗透攻击后的常见症状,并提供一些实用的检测方法。我们还将通过具体的案例和代码示例来帮助读者更好地理解和检测服务器的安全状况。 1. 引言 服务器渗透是指攻击者未经授权访问服务器资源的过程。一旦服务器被成功渗透,可能会出现一系列异常行为,对业务运营产生严重影响。因此,及时发现并响应这些异常至关重要。 2. 渗透攻击的常见症状 当服务器被渗透时,可能会出现以下几种典型的表现形式: 系统资源消耗异常:CPU、内存、磁盘空间和网络带宽的使用率突然上升。 异常登录活动:非工作时间的登录尝试、
直播平台直播API集成之Facebook篇
最新发布
jspyth的博客
08-29 815
本篇我们来介绍如何使用Facebook 的直播API(Facebook Live API)创建直播。
黑神话:悟空游戏用的什么服务器
热门推荐
petaexpress的博客
08-21 1万+
黑神话:悟空游戏用的什么服务器?《黑神话:悟空》游戏使用的是基于云计算的强大服务器,具体型号和配置未公开。这些服务器在游戏发布初期就表现出极强的处理能力和稳定性,尽管同时在线人数一度突破百万,但整体运行仍然十分稳定。
dvwa通关brute force
06-08
DVWA(Damn Vulnerable Web Application)是一个广泛使用的开源Web应用程序安全教程,它包含了一系列的漏洞和弱点,旨在帮助学习者和安全专业人员熟悉常见的Web安全问题。在DVWA中,Brute Force挑战是关于用户登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值