bWAPP解题笔记——A4-Broken Auth. & Session Mgmt.

最新推荐文章于 2023-03-23 08:17:46 发布
最新推荐文章于 2023-03-23 08:17:46 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: CTF writeup 文章标签: bWAPP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FunkyPants/article/details/82460690
版权

Broken Auth. & Session Mgmt.

失效的会话认证以及Session管理。

Insecure Login Forms

low

???
Alt text

medium

查看源码
Alt text

跟踪unlock_secret()方法,很简单的逻辑

function unlock_secret()
{

var bWAPP = "bash update killed my shells!"

var a = bWAPP.charAt(0);  var d = bWAPP.charAt(3);  var r = bWAPP.charAt(16);
var b = bWAPP.charAt(1);  var e = bWAPP.charAt(4);  var j = bWAPP.charAt(9);
var c = bWAPP.charAt(2);  var f = bWAPP.charAt(5);  var g = bWAPP.charAt(4);
var j = bWAPP.charAt(9);  var h = bWAPP.charAt(6);  var l = bWAPP.charAt(11);
var g = bWAPP.charAt(4);  var i = bWAPP.charAt(7);  var x = bWAPP.charAt(4);
var l = bWAPP.charAt(11); var p = bWAPP.charAt(23); var m = bWAPP.charAt(4);
var s = bWAPP.charAt(17); var k = bWAPP.charAt(10); var d = bWAPP.charAt(23);
var t = bWAPP.charAt(2);  var n = bWAPP.charAt(12); var e = bWAPP.charAt(4);
var a = bWAPP.charAt(1);  var o = bWAPP.charAt(13); var f = bWAPP.charAt(5);
var b = bWAPP.charAt(1);  var q = bWAPP.charAt(15); var h = bWAPP.charAt(9);
var c = bWAPP.charAt(2);  var h = bWAPP.charAt(2);  var i = bWAPP.charAt(7);
var j = bWAPP.charAt(5);  var i = bWAPP.charAt(7);  var y = bWAPP.charAt(22);
var g = bWAPP.charAt(1);  var p = bWAPP.charAt(4);  var p = bWAPP.charAt(28);
var l = bWAPP.charAt(11); var k = bWAPP.charAt(14);
var q = bWAPP.charAt(12); var n = bWAPP.charAt(12);
var m = bWAPP.charAt(4);  var o = bWAPP.charAt(19);

var secret = (d + "" + j + "" + k + "" + q + "" + x + "" + t + "" +o + "" + g + "" + h + "" + d + "" + p);

if(document.forms[0].passphrase.value == secret)
{ 

    // Unlocked
    location.href="/bwapp/ba_insecure_login_2.php?secret=" + secret;

}

else
{

    // Locked
    location.href="/bwapp/ba_insecure_login_2.php?secret=";

}

}
将其执行后得到secret,输入后通过
Alt text

high

源码

// Retrieves the LDAP connection settings
$login = $_SESSION["ldap"]["login"];
$password = $_SESSION["ldap"]["password"];
$server = $_SESSION["ldap"]["server"];
$dn = $_SESSION["ldap"]["dn"];

if(isset($_POST["form"]))   
{ 

    if($_POST["login"] == $login && $_POST["password"] == $password)
    {

        $message = "<font color=\"green\">Successful login!</font>";

    }

    else        
    {

        $message = "<font color=\"red\">Invalid credentials!</font>";

    }

}

这里使用了LDAP访问协议。

LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

总结

这里的题目初看起来很奇怪,但是很容易理解为什么这样设计:第一个题目就是初学者最初设计的登录方法,只要输入的账户密码和后台中自己的预设值相同即可成功登录,这种方法容易被爆破,很不安全。第二个题目是将后台的验证方法暴露了出来。

Logout Management

low

这个,能猜到大概是直接用了重定向,再点click后再进入例如http://localhost/bwapp/portal.php的网页,很容易发现确实没有注销我们的cookie。源码中也验证了这一点。

<div id="main">

    <h1>Broken Auth. - Logout Management</h1>

    <p>Click <a href="ba_logout_1.php" onclick="return confirm('Are you sure?');">here</a> to logout.</p>

</div>

medium and high

进入ba_logout_1.php后销毁了cookie,安全

switch($_COOKIE["security_level"])
{

case "0" :       

    // Do nothing

    break;

case "1" :            

    // Destroys the session        
    session_destroy();       

    break;

Password Attacks

low

不是很懂是什么意思,大概是直接爆破?

if(isset($_POST["form"]))   
{ 

if($_POST["login"] == $login && $_POST["password"] == $password)
{

    $message = "<font color=\"green\">Successful login!</font>";

}

else        
{

    $message = "<font color=\"red\">Invalid credentials! Did you forgot your password?</font>";

}

}

medium

这里在登录时需要传入一个salt,似乎不能爆破的样子
Alt text

但是这个salt是存在本地的,仍然可以被爆破
Alt text

high

使用验证码

if(isset($_SESSION["captcha"]) && ($_POST["captcha_user"] == $_SESSION["captcha"]))

Alt text

low

HINT: check the URL…

http://localhost/bwapp/smgmt_admin_portal.php?admin=0

edit admin=0 to admin=1

medium

HINT: check the cookies…
Alt text
edit admin=0 to admin=1

high

You need to creat a new user to replace bee/bug, or it will be not worked.

 // Sets a cookie 'admin' when there is no cookie detected
 setcookie("admin", "0", time()+300, "/", "", false, false);
 header("Location: " . $_SERVER["SCRIPT_NAME"]);

Forgotten Function

You need to creat a new user to replace bee/bug, or it will be not worked.

low

密码直接打印出来

// Security level LOW
// Prints the secret

Alt text

medium

// Security level MEDIUM
// Mails the secret

high

// Security level HIGH
// Mails a reset code

Session Mgmt

这里的四个题目都与cookie属性设置有关,下面是cookie的属性说明。

name

name字段为一个cookie的名称。

value

value字段为一个cookie的值。

domain

domain字段为可以访问此cookie的域名。

非顶级域名,如二级域名或者三级域名,设置的cookie的domain只能为顶级域名或者二级域名或者三级域名本身,不能设置其他二级域名的cookie,否则cookie无法生成。

顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名,否则cookie无法生成。

二级域名能读取设置了domain为顶级域名或者自身的cookie,不能读取其他二级域名domain的cookie。所以要想cookie在多个二级域名中共享,需要设置domain为顶级域名,这样就可以在所有二级域名里面或者到这个cookie的值了。
顶级域名只能获取到domain设置为顶级域名的cookie,其他domain设置为二级域名的无法获取。

path

path字段为可以访问此cookie的页面路径。 比如domain是abc.com,path是/test,那么只有/test路径下的页面可以读取此cookie。

expires

expires/Max-Age 字段为此cookie超时时间。若设置其值为一个时间,那么当到达此时间后,此cookie失效。不设置的话默认值是Session,意思是cookie会和session一起失效。当浏览器关闭(不是浏览器标签页,而是整个浏览器) 后,此cookie失效。

size

Size字段 此cookie大小。

httponly

若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过JS来访问此cookie。

secure

secure 字段 设置是否只能通过https来传递此条cookie

FunkyPants
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全入门篇:bwapp靶场通关(更新ing)
weicanglv3545的博客
08-12 2935
bwapp是一个覆盖范围非常广的漏洞靶场,非常适合初学者入门使用。 本篇文章中使用的bwapp是docker安装,因此有一些漏洞不能很好的支持。 如果想获得完整体验,可下载bee-box,一个预装了bwapp的Linux VM。...
bwapp通关(全完结)
热门推荐
hxhxhxhxx的博客
10-20 1万+
bwapp/ A1 - Injection /HTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL)HTML Injection - Stored (Blog)iFrame InjectionLDAP Injection (Search)【待开化】 ---------------------- bWAPP v2.2 -----------------
【webGoat】Broken Authentication
10-02 1279
【中断的身份验证】
OWASP top10(OWASP十大应用安全风险)之A2 认证失败(Broken Authentication)
qq_39682037的博客
03-17 3379
top2 认证失败(Broken Authentication) 损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户,甚至更糟的是,获得对系统的完全控制。 具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题,例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。 为了最...
实验吧writeup Web方向
08-27
就是实验吧的一些writeup,,因缺思厅的绕过,让我进去,上传绕过, dvwa,简单的sql注入3
google_auth-1.23.0-py2.py3-none-any.whl____python 包
07-01
google_auth-1.23.0-py2.py3-none-any.whl python 包 google_auth-1.23.0-py2.py3-none-any.whl python 包 google_auth-1.23.0-py2.py3-none-any.whl python 包google_auth-1.23.0-py2.py3-none-any.whl python 包 ...
hadoop-auth-2.5.1-API文档-中文版.zip
04-23
赠送jar包:hadoop-auth-2.5.1.jar; 赠送原API文档:hadoop-auth-2.5.1-javadoc.jar; 赠送源代码:hadoop-auth-2.5.1-sources.jar; 赠送Maven依赖信息文件:hadoop-auth-2.5.1.pom; 包含翻译后的API文档:hadoop...
hadoop-auth-2.2.0.jar
04-15
hadoop-auth-2.2.0.jar
guigu-auth.sql
10-27
guigu-auth.sql
nacos-auth-2.0.4.RELEASE-API文档-中文版.zip
05-07
赠送jar包:nacos-auth-2.0.4.RELEASE.jar; 赠送原API文档:nacos-auth-2.0.4.RELEASE-javadoc.jar; 赠送源代码:nacos-auth-2.0.4.RELEASE-sources.jar; 赠送Maven依赖信息文件:nacos-auth-2.0.4.RELEASE.pom;...
网络攻击技术——Broken authentication
qq_43416206的博客
03-23 87
在应用程序中,如果验证和会话(Session)管理的功能没有正确实现时,导致攻击者可以窃取用户密码,会话令牌或利用其他漏洞来伪装成其他用户身份。本文介绍了验证破坏和会话劫持攻击,通过具体的例子介绍了会话(Session)在浏览器中的工作原理,通过Cookie来保持身份认证的服务端状态,这种保持可能是基于会话(Session)的,也可以是通过在Url中嵌入SessinId持久化。接着我们介绍了.NET中用户验证功能——ASP.NET membership和role providers的用户验证功能。
bWAPP Broken Auth. & Session Mgmt
angry_program的博客
03-04 918
0x01、Broken Auth- CAPTCHA Bypassing Low 验证码绕过,本题验证码没有时间限制,所以提交一次验证码后,可以暴力破解用户名和密码了 Medium&High 方法如上,依然可以暴力破解。 所以及时销毁验证码的有效性是很必要的。 0x02、Broken Auth. - Forgotten Function Low 在源码中使用...
bWAPP解题笔记—— A4-Insecure Direct Object References
FunkyPants的博客
09-12 2078
A4——Insecure Direct Object References 不安全的直接对象引用。 Insecure DOR (Change Secret) low 在HTML中有一个隐藏的值login,表示登录用户。 我们可以修改login,修改其他用户的secret medium and high 使用了随机生成的token验证当前login 的用户。 // A r...
web渗透--26--服务器端包含注入(SSI注入)
武天旭的博客
09-16 2786
1、漏洞描述: Web服务器通常允许开发人员在静态HTML页面内嵌入少量的动态代码,而无需处理全部的服务器端或客户端语言。这个特征称作:服务器端包含(SSI)。在SSI注入测试中,我们测试能否注入可由SSI机制解释的应用程序数据。该漏洞的成功利用允许攻击者在HTML页面中插入代码,甚至实施远程代码执行。
bWAPP练习
zhaji001
12-06 9620
简介 虚拟机下载地址: https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/ 如果你想自己去部署环境:https://sourceforge.net/projects/bwapp/files/bee-box/ bWAPP包含有100多个漏洞,包括OWASP Top10安全风险,很爽的PHPweb靶机。 登录username:bee  pas...
bwapp 随笔
freshfox的博客
08-11 2116
SQL Injection (GET/Search) C:\Python27\sqlmap>python sqlmap.py  -u  "http://localhost/bwapp/sqli_1.php?titl e=sfsdf&action=search"  --cookie="PHPSESSID=k60mg7l865e7l5jrp9gr8l6c84;security_
bwapp medium writeup
公众号shadow sock7
06-15 4230
HTML injection(XSS)set security level as low很简单,正常的就可以绕过http://192.168.170.130/bWAPP/htmli_get.php?firstname=%25%33%63script%25%33%65alert(/XSS/)%25%33%63/script%25%33%65&lastname=%25%33%63script%25%33
Webgoat8(A2) Broken Authentication
weixin_44689968的博客
04-14 558
1.Authentication Bypasses 输入框随意输入:test,test 点击Submit,并使用Burpsuite抓包 Action–>Repeater 修改参数名为secQuestion3和secQuestion4 2.JWT tokens 先点击删除 使用burpsuite抓包
codegen-service.jar data-market-service-integration.jar data-market-service-mapping.jar data-market-service.jar data-masterdata-service.jar data-metadata-service-console.jar data-metadata-service.jar data-quality-service.jar data-standard-service.jar data-visual-service.jar datax-auth.jar datax-config.jar datax-eureka.jar datax-gateway.jar datax-tool-monitor.jar email-service.jar file-service.jar quartz-service.jar system-service.jar workflow-service.jar sh启动这些jar包
最新发布
06-07
你可以使用以下命令启动这些 jar 包: ``` nohup java -jar codegen-service.jar > codegen-service.log & nohup java -jar data-market-service-integration.jar > data-market-service-integration.log & nohup java -jar data-market-service-mapping.jar > data-market-service-mapping.log & nohup java -jar data-market-service.jar > data-market-service.log & nohup java -jar data-masterdata-service.jar > data-masterdata-service.log & nohup java -jar data-metadata-service-console.jar > data-metadata-service-console.log & nohup java -jar data-metadata-service.jar > data-metadata-service.log & nohup java -jar data-quality-service.jar > data-quality-service.log & nohup java -jar data-standard-service.jar > data-standard-service.log & nohup java -jar data-visual-service.jar > data-visual-service.log & nohup java -jar datax-auth.jar > datax-auth.log & nohup java -jar datax-config.jar > datax-config.log & nohup java -jar datax-eureka.jar > datax-eureka.log & nohup java -jar datax-gateway.jar > datax-gateway.log & nohup java -jar datax-tool-monitor.jar > datax-tool-monitor.log & nohup java -jar email-service.jar > email-service.log & nohup java -jar file-service.jar > file-service.log & nohup java -jar quartz-service.jar > quartz-service.log & nohup java -jar system-service.jar > system-service.log & nohup java -jar workflow-service.jar > workflow-service.log & ``` 其中,`nohup` 命令可以使程序在后台运行,并将输出重定向到日志文件中。`&` 符号表示在后台运行该命令。请确保在执行此命令之前,已经安装了 Java 运行时环境,并且当前路径下存在相应的 jar 文件。如果 jar 文件不在当前路径下,可以使用绝对路径或相对路径指定文件的位置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值