【DVWA1.10】Brute Force通关笔记

最新推荐文章于 2024-02-22 09:39:22 发布
最新推荐文章于 2024-02-22 09:39:22 发布
阅读量360 收藏
点赞数
分类专栏: dvwa1.10 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/112170835
版权

难度

Security Level: low

<?php 

if( isset( $_GET[ 'Login' ] ) ) { 
    // Get username 
    $user = $_GET[ 'username' ]; 

    // Get password 
    $pass = $_GET[ 'password' ]; 
    $pass = md5( $pass ); 

    // Check the database 
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) { 
        // Get users details 
        $row    = mysqli_fetch_assoc( $result ); 
        $avatar = $row["avatar"]; 

        // Login successful 
        echo "<p>Welcome to the password protected area {$user}</p>"; 
        echo "<img src=\"{$avatar}\" />"; 
    } 
    else { 
        // Login failed 
        echo "<pre><br />Username and/or password incorrect.</pre>"; 
    } 

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); 
} 

?>

low难度什么都没有操作,我们可以直接用burpsuite爆破,先用burpsuite抓包,将包放到intruder模块,将username设定为admin,password设定为爆破对象
在这里插入图片描述
然后转到payloads设置爆破字典,我这里就随便写了一个
在这里插入图片描述
然后开始爆破
在这里插入图片描述
爆破结果可以根据返回字节数明显看出
在这里插入图片描述
当然也可以用sql注入的方法来登录,low难度没有任何过滤,而且判断登录成功的条件是有返回数据即可
sql语句:

admin’#

在这里插入图片描述

Security Level: medium

<?php 

if( isset( $_GET[ 'Login' ] ) ) { 
    // Sanitise username input 
    $user = $_GET[ 'username' ]; 
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Sanitise password input 
    $pass = $_GET[ 'password' ]; 
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $pass = md5( $pass ); 

    // Check the database 
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) { 
        // Get users details 
        $row    = mysqli_fetch_assoc( $result ); 
        $avatar = $row["avatar"]; 

        // Login successful 
        echo "<p>Welcome to the password protected area {$user}</p>"; 
        echo "<img src=\"{$avatar}\" />"; 
    } 
    else { 
        // Login failed 
        sleep( 2 ); 
        echo "<pre><br />Username and/or password incorrect.</pre>"; 
    } 

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); 
} 

?>

与low等级区别就在于加多了mysqli_real_escape_string函数的过滤,并且在查询不到改记录时sleep( 2 ),就是密码错误会停2秒,照样按照low等级的方法爆破即可,就是时间长久了亿点。

Security Level: high

<?php 

if( isset( $_GET[ 'Login' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Sanitise username input 
    $user = $_GET[ 'username' ]; 
    $user = stripslashes( $user ); 
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Sanitise password input 
    $pass = $_GET[ 'password' ]; 
    $pass = stripslashes( $pass ); 
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $pass = md5( $pass ); 

    // Check database 
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) { 
        // Get users details 
        $row    = mysqli_fetch_assoc( $result ); 
        $avatar = $row["avatar"]; 

        // Login successful 
        echo "<p>Welcome to the password protected area {$user}</p>"; 
        echo "<img src=\"{$avatar}\" />"; 
    } 
    else { 
        // Login failed 
        sleep( rand( 0, 3 ) ); 
        echo "<pre><br />Username and/or password incorrect.</pre>"; 
    } 

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

我们逐步分析,首先,high难度用上了Check Anti-CSRF token,该token是为了防范CSRF攻击的,其次传入的userpass都受到了防sql注入的过滤,最后密码错误时,会随机sleep 0~3秒的时间。看似好像没有什么问题,甚至于medium难度只有Check Anti-CSRF token的差别,但问题就出自于Check Anti-CSRF token
那我们先来了解一下什么是Token
使用Token有2种方式:

  1. 用设备号/设备mac地址作为Token
  2. 用session值作为Token用session值作为Token

Token的好处是服务端不需要存储相应信息。
大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录.
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
  7. 当然,如果Token被不怀好意的人从中间获取到该信息时,也容易被利用,非法获取数据。 想增强安全性,一般可以在服务端生成时配合时间戳,服务端在接收到client发来带token的信息时,先检测token的时间戳信息,如果该时间戳在超过某个时间点时,就认为过期,需要重新获取。

Token一般用在两个地方:

  1. 防止表单重复提交:服务器端第一次验证相同过后,会将session中的Token值更新。若用户重复提交,第二次的验证判断将失败,因为用户提交的表单中的Token没变,但服务器端session中Token已经改变了。
  2. anti csrf攻击(跨站点请求伪造):服务器端会对Token值进行验证,判断是否和session中的Token值相等。若相等,则可以证明请求有效,不是伪造的。

这里需要注意我提到的第一点,若用户重复提交,第二次的验证判断将失败
我们之前的爆破都是基于同一界面的重复提交来实现的,这里难点就出现了,若用户重复提交,第二次的验证判断将失败,我们需要在提交pass变量的同时,将token也随每个页面的更新提交!但这怎么实现呢?
很幸运,burpsuite有应对如此情况的模块可以使用,具体参考该文章:https://blog.nvisium.com/p606
我们将抓到的包放进intruder模块,并将爆破位置与Token位置列入攻击位置,并将Attack type选定为Pitchfork模式
在这里插入图片描述
在options栏找到Grep - Extract,点击Add添加
在这里插入图片描述
点击Refetch response按钮发送一次包来返回数据,以便选取Token,这边的Token记得复制一份,后面需要用到,选定后点击OK即可
在这里插入图片描述
同样在option中将攻击线程thread设置为1,因为Recursive_Grep模式不支持多线程攻击
在这里插入图片描述

转回payloads模块界面给pass设置字典
在这里插入图片描述
切换到payload2将Payload type设置成Recursive grep模式,表示将服务器每次返回的数据来替换payload中的变量,同时在Initial payload for first request处填上刚刚复制的那串token作为第一次请求的初始标识,如果不设置该初始标识,后面请求会因为前面的请求没有返回值导致无法获取token来爆破。
在这里插入图片描述
全部设置完成后开始爆破得到结果
在这里插入图片描述

Security Level: impossible

<?php 

if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Sanitise username input 
    $user = $_POST[ 'username' ]; 
    $user = stripslashes( $user ); 
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Sanitise password input 
    $pass = $_POST[ 'password' ]; 
    $pass = stripslashes( $pass ); 
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $pass = md5( $pass ); 

    // Default values 
    $total_failed_login = 3; 
    $lockout_time       = 15; 
    $account_locked     = false; 

    // Check the database (Check user information) 
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' ); 
    $data->bindParam( ':user', $user, PDO::PARAM_STR ); 
    $data->execute(); 
    $row = $data->fetch(); 

    // Check to see if the user has been locked out. 
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  { 
        // User locked out.  Note, using this method would allow for user enumeration! 
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>"; 

        // Calculate when the user would be allowed to login again 
        $last_login = strtotime( $row[ 'last_login' ] ); 
        $timeout    = $last_login + ($lockout_time * 60); 
        $timenow    = time(); 

        /* 
        print "The last login was: " . date ("h:i:s", $last_login) . "<br />"; 
        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />"; 
        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />"; 
        */ 

        // Check to see if enough time has passed, if it hasn't locked the account 
        if( $timenow < $timeout ) { 
            $account_locked = true; 
            // print "The account is locked<br />"; 
        } 
    } 

    // Check the database (if username matches the password) 
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); 
    $data->bindParam( ':user', $user, PDO::PARAM_STR); 
    $data->bindParam( ':password', $pass, PDO::PARAM_STR ); 
    $data->execute(); 
    $row = $data->fetch(); 

    // If its a valid login... 
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) { 
        // Get users details 
        $avatar       = $row[ 'avatar' ]; 
        $failed_login = $row[ 'failed_login' ]; 
        $last_login   = $row[ 'last_login' ]; 

        // Login successful 
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>"; 
        echo "<img src=\"{$avatar}\" />"; 

        // Had the account been locked out since last login? 
        if( $failed_login >= $total_failed_login ) { 
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>"; 
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>"; 
        } 

        // Reset bad login count 
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' ); 
        $data->bindParam( ':user', $user, PDO::PARAM_STR ); 
        $data->execute(); 
    } else { 
        // Login failed 
        sleep( rand( 2, 4 ) ); 

        // Give the user some feedback 
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>"; 

        // Update bad login count 
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' ); 
        $data->bindParam( ':user', $user, PDO::PARAM_STR ); 
        $data->execute(); 
    } 

    // Set the last login time 
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' ); 
    $data->bindParam( ':user', $user, PDO::PARAM_STR ); 
    $data->execute(); 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

在impossible难度下,对于传入的变量进行了应有的函数过滤,同时还采用了更为安全的PDO(PHP Data Object)机制防御sql注入,这是因为不能使用PDO扩展本身执行任何数据库操作,而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令。不仅如此,对于爆破也做出了相关的应对,在密码错误至一定次数后,会将用户锁定,爆破基本无法运行。

小 白 萝 卜
关注
专栏目录
DVWA1.10_CSRF
whime
07-11 359
LOW 服务器收到提交的新密码和确认密码之后,比较是否相同,相同则修改密码,没有任何防护机制。此处可以简单构造带有参数的链接诱导用户点击: http://192.168.29.128/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 但是点击之后会出现修改成功页面,用户很容易发现密码已经被修改了。 攻击者还可以诱导用户访问特定页面,将链接隐藏在标签中.
dvwa学习-brute force(暴力破解)
qq_17762247的博客
05-09 1889
一、简介: Brute-Force(暴力破解),又称为穷举攻击,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如:一个已知是四位数并且全部由阿拉伯数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人透过字典攻击来...
DVWA1.10_Brute_Force
whime
07-11 384
low等级 查看源代码可知,在php脚本中只检查了Login变量是否设置,没有对user,password参数进行过滤,存在注入漏洞。由于password参数进行了md5散列,并且只有结果集只有一行才可以通过验证,所以只能对用户名进行注入。如 ’ or 1=1 limit 1,1# 使用Burp Suite进行爆破,抓包选择爆破的参数,选择Kali 自带的字典rockyou.txt 进行爆破,得出密码为password。 medium等级 medium等级使用了mysqli_real_escape_s.
DVWA1.10】File Upload通关笔记
EC_Carrot的博客
01-04 346
难度Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable
DVWA1.10-XSS
uh_eng的博客
07-26 237
反射型 low 在输入框里填入的内容会通过GET请求的方式发往后端,同时后端会根据输入的内容拼接一个页面,把输入的内容显示给用户。 在输入框里输入<script>alert('xss');</script>点击提交会发现弹出弹窗。验证了漏洞存在。不过xss可不是用来给访问者弹窗的,接下来继续利用该漏洞窃取访问者的cookie。 首先编写一段xss脚本放在攻击者服务器上,其作用是读取当前的cookie和host信息,并提交到攻击者的服务器上。 //文件名为xss_cookie.js v
DVWA1.10-BruteForce
uh_eng的博客
07-20 185
low URL:http://localhost/DVWA/vulnerabilities/brute/?username=admin&password=password&Login=Login 直接构造GET请求来进行暴力破解,这里使用Python编写脚本,使用弱密码字典进行暴力破解: import requests import re url1 = "http://localhost/DVWA/vulnerabilities/brute/?username=admin&pass
DVWA_bruteForce工具_官网下载_Bruter_1.1.zip
09-18
DVWA的BruteForce板块所需要用到的暴力破解工具。 日常暴力破解小能手。谁用谁知道。
DVWA-Brute Force @ Burpsuite.docx
06-27
DVWA-Brute Force @ Burpsuite.docx
DVWA——high等级Brute Force通关
weixin_51220765的博客
12-23 387
DVWA——high等级Brute Force通关 登录dvwa,选择high模式进行练习 来到Brute Force,首先输入username,password进行测试,查看输出情况 打开BP进行拦包,把拦到的包发送到Intruder模块,设置两个爆破参数(1、密码参数 2、token值参数)选择第三种爆破模式Pitchfork 这时我们清除默认被标记的,然后给我想要获取的信息添加标记 选择Pichfork(草叉模式)因为它是多参数同时爆破,但用的是不同的字典 在Payload Sets里的
dvwa通关brute force
最新发布
06-08
在DVWA中,Brute Force挑战是于用户登录部分的一个环节,主要是测试用户的密码暴力破解能力。 当你遇到Brute Force卡时,目标是尝试使用各种可能的用户名和密码组合,直到找到正确的登录凭证。这通常涉及到编写...
DVWA全级别教程
10-26
DVWA全级别教程 通关秘籍 练手的同学可以下载 epub文件 适合手机平板看
DVWA-v1.10-文件包含
-
03-20 4643
DVWA v1.10搭建在linux系统上。 进来之后看到 可以看到三个文件fil1.php、file2.php、file3.php 同时还给出三个链接:
DVWA1.10】SQL Injection通关笔记
EC_Carrot的博客
12-31 454
等级Security Level: lowSecurity Level: mediumSecurity Level: highSecurity Level: impossible Security Level: low <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT f
DVWA-1.10全级别教程之File Inclusion(学习笔记
热门推荐
大方子
08-22 1万+
根据原创作者:lonehand进行更改,来自FreeBuf.COM 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴...
DVWA 1.10版本Brute Force(high)
monsterdouble的博客
06-25 759
low和mid等级直接使用burpsuite暴力破解,high等级先抓包发现有token认证机制,需要先获取token,然后用token加上用户密码验证身份。以下为python暴力破解代码import re import requests url='http://127.0.0.1:8000/vulnerabilities/brute/' header={'Host': '127.0.0.1:...
【DVWA】11. Brute Force暴力破解(High+Impossible
Zichel77的博客
12-14 1310
在代码中,使用 prepare 方法准备 SQL 语句,并使用 bindParam 方法绑定参数,确保输入的用户名和密码在查询中被正确地转义和处理。mysqli_real_escape_string(string,connection)函数会对字符串string中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。延时反应:在登录失败的情况下,代码通过 sleep 函数来引入一个随机的延迟时间(2 到 4 秒之间),这样可以防止暴力破解者通过快速尝试大量不同的用户名和密码组合。
DVWA靶机-暴力破解(Brute Force)
weixin_43726831的博客
10-11 2984
DVWA靶机-暴力破解 1.DVWA靶机的4个安全等级 DVWA Security分为四个等级,low,medium,high,impossible,不同的安全等级对应了不同的漏洞等级。 1.low-最低安全等级,无任何安全措施,通过简单毫无安全性的编码展示了安全漏洞。 2.medium-中等安全等级,有安全措施的保护,但是安全性并不强。 3.high-高等安全等级,有安全措施保护,是中等安全等级...
DVWA靶场练习
mcw_ai_biancheng的博客
02-22 407
这里可以尝试sql注入。于是我使用了admin’ and 1=1#。成功注入。mysqli_real_escape_string这个函数他的作用是用来预防sql注入的,用burpsuite中的爆破米快进行密码爆破得到密码,然后我们就可以登录成功。源码如上我们看到问题,题目要求我们输入ip类似于cmd开始构造payload这一章是讲的文件包含漏洞的发现没有进行过滤,我们只需要传入参数就可以发现没有什么重要的东西,我们将url中的参数更改一下我们在切换到medium。
dvwa上Brute Force的全难度(补充)
m0_74456293的博客
01-13 166
dvwa上Brute Force的全难度(补充)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值