DVWA —— Brute Force 暴力破解

已于 2023-12-24 22:13:07 修改
阅读量2.6k 收藏 18
点赞数 3
文章标签: php 服务器 web安全
于 2023-05-20 22:06:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouTheFreedom/article/details/130786146
版权
本文详细介绍了不同安全等级的Web应用漏洞,包括弱口令爆破、SQL注入绕过、验证码机制的弱点,以及如何利用BurpSuite进行渗透测试。同时,提出了防御措施,如添加验证码、限制登录尝试次数、密码加密和防止SQL注入等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

漏洞原理

Low

渗透思路

burp 弱口令字典爆破

Medium

渗透思路

burp 弱口令字典爆破

源码对比 

Low 源码

Medium 源码

对比小结

High

渗透思路 

burp 自动获取 token 爆破弱口令

源码对比

Medium 源码

High 源码

对比小结

Impossible

源码对比

High 源码

Impossible 源码

对比小结

防御

添加验证码机制

添加 token

限制登录失败次数

密码加密传输

防止 SQL 注入

强密码

绕过

SQL 注入绕过

验证码可爆破

验证码复用

验证码绕过

token 绕过

漏洞原理

由于没有对登录页面进行相关的防暴力破解机制,如无验证码、有验证码但验证码未在服务器端校验以及无登录错误次数限制等,导致攻击者可通过暴力破解获取用户登录账户及口令,从而获取网站登录访问权限

Low

渗透思路

没有验证码,错误次数限制,而且用户名密码明文传输,所以用 burpsuit 抓包后用字典自动化爆破 

burp 弱口令字典爆破

爆破模式选择 Cluster bomb

列表1 username payload

列表2 password payload

 注:只是为了示范和熟悉常用渗透思路,并没有必要用太多 payload,比较费时间,实际测试可以用 Top500 用户名密码

option 标签页中的 Request Engine 等参数可保持默认即可,点击 payloads 标签页里的 start attack 即可开始爆破,结果如下:

Medium

渗透思路

没有验证码,错误次数限制,而且用户名密码明文传输,所以用 burpsuit 抓包后用字典自动化爆破 

burp 弱口令字典爆破

与 Low 级别一样

源码对比 

Low 源码

Medium 源码

对比小结

通过对比可知,low 和 medium 两个的等级代码区别有两点:

  1. mysqli_real_escape_string 函数对用户名和密码输入进行特殊字符转义,防止 SQL 注入
  2. 如果登陆失败会 sleep 2s

High

渗透思路 

登录请求抓包比之前多了 user_token 参数

通过登陆失败后跟随 302 来到 /vulnerabilities/brute/index.php 页面后,发现页面代码里隐藏的 user_token 参数,每次请求该页面后都会获得新的 user_token,由此可知,每次请求登录提交用户名和密码时,都要带上页面提供的 user_token,且有效性只有一次,防止重放爆破。所以我们要想爆破就必须先获得 user_token 值再提交。 

burp 自动获取 token 爆破弱口令

发现新增的隐藏参数 user_token 

 

添加 session macro 宏自动获得并替换 user_token 

我们可以借助burpsuit macro 宏功能来完成发送爆破请求之前请求 index 页面获得 user_token 值 

选择 Project options 模块下的 Sessions 标签页按照下图中的步骤提示操作即可: 

填写 Rule Decription 方便了解区分该规则用途

点击 add 按钮打开 macro editor,随后会自动弹出 macro recorder,选择需要从中获得消息的流量记录进行编辑

选择记录后点击 OK 返回 macro editor 界面,选择要编辑的记录点击 Configure item

添加响应报文里的参数获取位置

填写 Parameter name,必须与实际获取参数名称相同,然后选择参数值获取位置,起始匹配正则会在你选择后自动生成,点击 OK

界面回到 Configure Macro Item,出现刚才新增的参数获取位置,点击 OK

 点击 OK

点击下图 2 的位置,仅更新请求中的指定参数,这里我们指定仅更新user_token 参数,这里意味着当 macro 请求index.php 页面获得 user_token参数后,会把我们发送的请求中的 user_token 参数值给替换掉,防止出现  CSRFtoken is incorrect 报错。点击 OK 返回。

选择 Scope 标签限制 macro 规则起效范围

限制 macro 功能起效范围

我们只需要针对目标 host 发送请求,在 Repeater 和 Intruder 模块力起效即可

repeater 测试验证 macro 成功获得并更新 user_token 参数

这是我们在 repeater 里发送 high 的登录请求报文发现,每次发出请求后,报文里的 user_token 参数就会自动更新,而响应页面的 CSRF token is incorrect也没有了,报错信息重新变为之前的用户名或密码不正确。

 解决了 high 新出现的 CSRF Token 问题,剩下的就与之前爆破步骤差不多了

Intruder 开启跟踪重定向

 由于可能出现 302,所以为方便查看最终结果,我们跟随重定向,调整 Options 标签页中的Redirections 为 Always。

开始攻击,一切顺利,结果如下:

源码对比

Medium 源码

High 源码

对比小结

通过对比可知,medium 和 high 两个的等级代码区别有四点:

  1. 开始处会校验 user_token 是否与 session_token 一致,防止重放爆破攻击
  2. 在限制用户输入的步骤中新增 stripslashes 函数删除用户名和密码里的反斜杠
  3. 如果登陆失败会 sleep 0-3s
  4. 结尾重新生成 session_token 作为下一次校验 user_token 的依据

Impossible

5次登录密码错误失败后页面出现以下提示

源码对比

High 源码

Impossible 源码

 

对比小结

通过之前的流量对比和代码分析,我们大致可以将 Impossible 源码对比结果总结如下:

  1. 先获得 POST 参数
  2. 通过预编译方式执行 SQL 语句,有效防止 SQL 注入
  3. 登陆失败次数过多锁定账户有效防止爆破
  4. 有限锁定时间避免影响合法用户的长期有效登录
  5. 锁定账户再次正常登陆会收到锁定提示,有效提醒用户及时修改密码,如下图所示

防御

添加验证码机制

加入图片(验证码动态生成且满足随机性)或者短信验证码(验证码具备超时时限一般为1分钟,且在该时限内错误次数超过3次则进行锁定1分钟后方能重新获取验证码,超时后验证码自动失效)!验证码必须在服务器端进行校验,客户端的一切校验都是不安全的!

添加 token

登录请求参数添加 token 字段

限制登录失败次数

密码错误限制在 3 次内

密码加密传输

对密码进行加密传输,为攻击者爆破制造难度

防止 SQL 注入

对用户输入进行特殊字符转义,关键词删改替换,预编译,防止 SQL 注入

强密码

设置强密码

绕过

SQL 注入绕过

实现万能密码效果

验证码可爆破

验证码可爆破,即验证码过于简单,例如验证码中字符数量过少,比如只有四位组成,且只包含 0-9 的数字还没有干扰点

验证码复用

验证码复用,即登录失败后验证码不刷新,仍然可以使用上一次登录时的验证码且有效,存在爆破风险漏洞

验证码绕过

  1. 删除验证码字段
  2. 修改验证码验证返回状态值
  3. 万能测试验证码
  4. 前端 js 验证代码删除
  5. 响应返回验证码

token 绕过

  1. token 为空绕过
  2. token 删除绕过
  3. token 重放绕过
  4. xss 表单劫持 token 绕过
  5. xss url 参数劫持 token 绕过
  6.  url 跳转漏洞绕过
DVWA靶场-Brute Force暴力破解~保姆级教程!!!
2301_77360738的博客
05-09 6344
DVWA靶场初体验,超简单的暴力破解!!!
DVWA】——Brute Force暴力破解
HinsCoder的博客
09-13 2472
准备好Brup Suite软件。
抓包神器Burpsuite保姆级破解及使用指南
最新发布
2301_77125316的博客
03-21 2190
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。接下来详细介绍一下安装Burpsuite及功能介绍,以WINDOWS平台为例。Target,显示目标站点目录结构Proxy,是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Spider。
DVWA-暴力破解Brute Force
weixin_58954236的博客
08-19 2042
首先访问有user token的页面,bp拦截到当前页面链接使用宏配置,正则表达过滤user token,输入账号密码拦截,将拦截的内容先放到重发器里面测试一下,user token是否会变,如果变了,表面之前的宏设置成功首先访问有user token的页面,bp拦截到当前页面链接使用宏配置,正则表达过滤user token,输入账号密码拦截,将拦截的内容先放到重发器里面测试一下,user token是否会变,如果变了,表面之前的宏设置成功。
DVWA------Brute Force暴力破解
m0_65712192的博客
11-09 1206
DVWA靶场之Brute Force暴力破解
dvwa brute force(暴力破解)
一个安全研究员
04-26 2773
介绍 暴力破解其实没有什么神秘的,也是大家都有的一个四位方式,比如说我们有时候会忘记我们的手机密码,这个时候我们就会从我们之前使用的密码中一个个去试着解锁,这就是暴力破解的精髓所在了,也就是枚举猜解。所以暴力破解的前提就是你有一个强大的字典,字典就是我们已知的一些用户名和密码,我们会通过这个字典来猜解。 low 方法一: 我们可以直接使用burpsuite的intruder模块进行暴力...
DVWA——Brute Force
qq_58553228的博客
06-02 496
目的:通过枚举逐个猜测匹配某个预定值Brute Force主要表现形式:通过设置(如表单) 预配值发送给服务器分析响应攻击形式:传统暴力破解、字典暴力破解
DVWA靶场-Brute Force暴力破解
mlws1900的博客
03-12 1957
具体来说,它使用了mysqli_real_escape_string()函数对用户输入的用户名进行转义,确保特殊字符在SQL语句中不会被误解为SQL语句的一部分,从而保护数据库安全。进入暴力破解的界面,有点基础的都知道,在bp中通过字典,导入用户名和密码进行爆破,这样的操作大家见多了,再写没啥意思,想看的可以去pikachu靶场的暴力破解去了解具体操作,本文主要结合代码进行分析。3.high-高等安全等级,有安全措施保护,是中等安全等级的加深,这个等级下的安全漏洞可能不允许相同程度的攻击。
Kali渗透测试之DVWA系列2——Brute Force(暴力破解)
浅浅的博客
05-11 5304
目录 一、暴力破解原理 二、实验环境 三、实验步骤 安全等级:LOW 安全等级:Medium 暴力破解的四种方式 安全等级:High 安全等级:Impossible 防止暴力破解的有效手段 一、暴力破解原理 暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功...
DVWA——暴力破解
m0_74426634的博客
04-04 2728
概述:穷举法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。
DVWA靶场Brute Force暴力破解练习
c_programj的博客
07-16 699
#DVWA靶场练习—— Brute Force暴力破解 暴力破解:通过穷举法列举出所有可能的结果,然后一个一个验证是否满足条件。 【Low】 使用burpsuite代理抓包,将抓取到的数据包发送到Intruder,或者使用快捷键ctrl+i,然后对参数行进设置。 Positions设置: Payloads设置: 开始进行攻击: 长度与众不同的就是爆破出来的密码。 后台码源: <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username
DVWA--暴力破解
weixin_56440174的博客
06-14 1957
1. Brute Force 暴力破解漏洞原理:暴力破解”是一攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。1.Low:绕过方法:使用burpsuite抓包,发送到爆破模块 2.medium:源码分析:利用原理:源码分析后,发现medium相比low多加了一个对于用户名的特殊字符转义,和输入密码的MD5,防止了sql注入,对登陆失败的用户做了一个sleep(2),还是可以爆破。 3.high源码分析:利用原
DVWA-暴力破解
Darklord.W
04-09 327
暴力破解低中等级包括万能密码注入 2、暴力破解四种方式的区别 一个字典,两个参数,先匹配第一项,再匹配第二项【sniper】 2、一个字典,两个参数,同用户名同密码【battering ram】 3、两个字典,两个参数,同行匹配,短的截止【pitch fork】 4、两个字典,两个参数,交叉匹配,所有可能【cluster bomb】...
DVWA暴力破解
weixin_44023403的博客
11-23 1116
DVWA暴力破解DVWA简介暴力破解Brute Force)lowMedium DVWA简介 需要Apache和MySql的集成环境,可以安装phpStudy,在phpStudy的WWW文件下搭建DWVA靶场。 DVWA默认的用户有5个,用户名密码如下(记住一个就可以了): admin/password gordonb/abc123 smithy/password 1337/charley pablo/letmein DVWA乱码问题的解决办法: 到DVWA安装目录下 (…/WWW/DVWA/d
dvwa_Brute Force(暴力破解) _Medium
yaowink的博客
05-09 527
dvwa_Brute Force(暴力破解) _Medium 首先,进入DVWA Security 改impossible为Medium并提交。返回Brute Force 点击View Source,发现与low的区别在于引入mysqli_real_escape_string这条函数 mysqli_real_escape_string函数:转义在SQL语句中使用的字符串的特殊字符 语法:mysqli_real_escape_string(connection,escapestring):..
DVWA暴力破解一(使用Burp Suite)
cai_huaer的博客
04-14 5637
加载弱口令文本后,如果觉得哪一个弱口令不要,可以直接选择那一行的弱口令,再点击Remove,如果觉得需要添加哪个弱口令,可以在Add按钮右边的输入框输入后,再点击Add按钮进行添加。一共9个口令,爆破18次,会依次赋值去爆破,首先第一个参数,依次赋值弱口令字典的值,然后第二个参数为之前提交的默认参数,当时我写的密码是112233,所以前面9次爆破就是第一个参数依次赋值字典,第二个参数为112233,后面9次爆破就是第一个参数为当时我输入的112233,第二个参数依次赋值字典的值。
DVWABrute Force
谢公子的博客
08-04 1497
DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请...
dvwa靶场 Brute Force
01-08
### DVWA Brute Force 暴力破解 实验教程 #### Low 和 Medium 级别暴力破解 对于低级别和中级别的暴力破解,由于这些级别的防护措施较为简单,可以利用工具如Burp Suite来进行自动化攻击。具体来说: - **Low Level**: 这一等级几乎没有任何安全机制来阻止暴力破解尝试。用户名和密码通过HTTP GET请求发送,并且没有验证码或登录失败后的延迟处理。因此,使用Burp Intruder模块并加载常用弱口令列表可以直接发起大量猜测尝试[^4]。 ```bash # 使用 Burp Suite 的步骤如下: 1. 启动浏览器代理设置指向本地监听端口8080; 2. 访问DVWA网站并通过拦截功能捕获登录表单提交的数据包; 3. 将数据包转发至Intruder面板配置参数位置(通常为username和password字段); 4. 加载预定义的字典文件作为payload选项; 5. 开始攻击过程观察返回结果寻找有效凭证组合。 ``` - **Medium Level**: 中级增加了简单的防御手段——每当验证不成功时会触发`sleep(2)`函数使响应时间延长两秒钟。尽管如此,这并不会显著影响实际操作中的成功率;只需耐心等待每次迭代完成即可继续测试其他候选值[^2]。 #### High 和 Impossible 级别暴力破解 随着保护强度增加到了高级阶段,则引入了更复杂的逻辑用于检测异常行为模式以及采取相应对策加以遏制潜在威胁活动的发生频率及其效率表现形式上有所区别于之前所描述过的简易型方案设计思路框架结构特点方面存在差异之处在于: - **High Level**: 此处不仅限定了最大重试次数还加入了基于IP地址白名单管理策略从而进一步提升了整体安全性水平线以上述两点为核心要素构建而成的一套综合性的访问控制体系架构模型实例化应用案例研究对象之一即为此版本下的用户认证流程环节部分实现细节说明文档记录内容摘要概述。 - **Impossible Level**: 几乎无法被传统意义上的穷举法攻破。该层面上除了继承自高阶版的安全特性外更是额外集成了诸如图形验证码之类的交互式组件用来增强人工干预成分比例进而达到更好的防伪效果目的所在[^1]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值