DVWA实战:Brute Force全级别测试

最新推荐文章于 2024-05-09 10:15:34 发布
最新推荐文章于 2024-05-09 10:15:34 发布
阅读量512 收藏
点赞数
分类专栏: web安全 文章标签: 信息安全
原文链接:https://www.freebuf.com/articles/web/116437.html
版权

DVWA实战:Brute Force全级别测试

一、Brute Force

Brute Force:暴力(破解),是指通过密码字典,利用穷举法爆破出用户名口令,是现在广泛使用的攻击手段之一。被攻击的原因还是人的问题(弱口令),因为我们通常用的密码口令还是比较容易被破解的。

二、全级别测试

Low

我们先看一下服务器的php代码:

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

我们可以看到服务器端只验证了参数Login是否被设置,并没有更多的判断条件(没有放爆破机制,对用户名密码也没有敏感验证),所以存在SQL漏洞

开始测试:

方法一: 利用Burp Suite爆破

  1. 利用Burp Suite截取请求

这里我们测试的是已知用户名为admin的情况下的爆破,我们先输入随便的密码123456,然后打开burp suite打开intercept is on,然后回到dvwa界面点击login,可以看到http请求被我们抓到了

在这里插入图片描述
2. 利用intruder模块进行攻击

点击Action,选中Send to intruder将保报文发送到intruder模块

在这里插入图片描述

选中positions选项,在我们要爆破的密码两边加上特殊字符

在这里插入图片描述

选中payloads,Payload set选中1,Payload type选中Simple list,载入我们的密码字典(可以自己构造,也可以在网上下载),点击Start attack开始攻击

在这里插入图片描述
在这里插入图片描述
发现有一个Payload的长度和别的不一样,这个多半就是口令了,测试一下,成功!

在这里插入图片描述
方法二: 手工sql注入

输入:用户名:admin' # 密码:(空)

在这里插入图片描述
注入成功!

输入:用户名:admin' or '1'='1 密码:(空)

在这里插入图片描述
注入成功!

Medium

php代码:

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以发现相比与Low等级,Medium增加了函数mysqli_real_escape_string(),来对username和password进行检测,mysqli_real_escape_string()就是转义在 SQL 语句中使用的字符串中的特殊字符(编码的字符是 NUL(ASCII 0)、\n、\r、\、’、" 和 Control-Z)。
基本防住简单的sql注入攻击,但是一些通过编码过的攻击方式还是有效的。
密码方面,通过md5进行了校验,通过sql注入的方式也不行了。
最后,虽然有sleep(2)来进行延时,但依然没有很好的防爆破机制。

编码绕过传送门:php字符编码绕过漏洞

High

php代码:

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

High级别在Medium的基础上增加了对token值的验证,这在一定程度上也防止了CSRF攻击。顺序是先验证token,通过后才会进行sql查询。
每次服务器返回的token值都是随机的,所以构造永久的token身份验证是不可能的。
从sql注入的角度分析,High等级通过stripslashes函数去除了username和password的反斜杠,加大了sql注入的难度。

下面是大佬的解决方法,有兴趣的可以看一下:传送门1
传送门2

Impossible

php代码:

<?php

if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Default values
    $total_failed_login = 3;
    $lockout_time       = 15;
    $account_locked     = false;

    // Check the database (Check user information)
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // Calculate when the user would be allowed to login again
        $last_login = strtotime( $row[ 'last_login' ] );
        $timeout    = $last_login + ($lockout_time * 60);
        $timenow    = time();

        /*
        print "The last login was: " . date ("h:i:s", $last_login) . "<br />";
        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";
        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";
        */

        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow < $timeout ) {
            $account_locked = true;
            // print "The account is locked<br />";
        }
    }

    // Check the database (if username matches the password)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // If its a valid login...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // Get users details
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // Login successful
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // Had the account been locked out since last login?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }

        // Reset bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // Login failed
        sleep( rand( 2, 4 ) );

        // Give the user some feedback
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // Update bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // Set the last login time
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到Impossible级别的代码加入了可靠的防爆破机制,当检测到频繁的错误登录后,系统会将账户锁定,爆破也就无法继续。

在这里插入图片描述
同时采用了更为安全的PDO(PHP Data Object)机制防御sql注入,这是因为不能使用PDO扩展本身执行任何数据库操作,而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令。

原著:lonehand,链接:新手指南:DVWA-1.9全级别教程之Brute Force
转载于 FreeBuf

沂水之约
关注
专栏目录
DVWA练习之暴力破解(Brute Force
caicaiaicaicai的博客
07-31 1063
DVWA练习之暴力破解(Brute Force ) 简介 暴力破解是攻击方使用自己的用户名和密码字典,通过枚举的方式来进行登录。 提交实际情况是每次发送的数据都必须要封装成完整的 HTTP 数据包才能被服务器接收。但是你不可能一个一个去手动构造数据包,所以在实施暴力破解之前,我们只需要先去获取构造HTTP包所需要的参数,然后扔给暴力破解软件构造工具数据包,然后实施攻击就可以了 ...
20201225DVWA暴力破解(Brute Force)模块难度详解
qq_45290991的博客
12-30 681
一、low级别 low级别直接用BP爆破就好了,先看源码: Brute Force Source vulnerabilities/brute/source/low.php <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5(
DVWA实战测试Brute Force
0xdawn的博客
01-31 437
0x01 Low级别 源码分析 <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); /...
DVWABrute Force
weixin_51167520的博客
03-06 647
DVWABrute Force 实验环境:Win7 win2k8 Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令 ** Low 级 ** 首先在WIN7上把安级别改成LOW 打开WIN7访问http:192.168.60.22:81暴力破解: 漏洞利用 方法一、爆破利用 burpsuite 即可完成 输入错误的用户名和密码: 抓取流量后,发送到 Intruder 模块来进行爆破,在 Position 中的 Attack type 选择 cl
新手指南:DVWA-1.9级别教程之Brute Force
weixin_50464560的博客
03-19 405
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安脆弱性鉴定的PHP/MySQL Web应用,旨在为安专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安防范的过程。DVWA共有十个模块,分别是Brut
DVWABrute Force(暴力破解)
热门推荐
谢公子的博客
10-04 1万+
目录 Low Medium High Impossible 暴力破解是指使用穷举法,举出所有的可能的结果,然后逐一验证是否正确! Low 源代码: &lt;?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password ...
DVWA靶场通关实战
qaq517384的博客
11-28 2463
Brute Force Command Injection CSRF File Inclusion File Upload Insecure CAPTCHA SQL Injection SQL Injection Weak Session IDs XSS (DOM) XSS(Reflected) XSS(Stored) CSP Bypass JavaScript
【WEB安】PHP靶场实战分析——DVWA
真哥的博客
12-20 4913
文章目录前言一、实战前的准备:1.dvwa靶场安装2.代码审计工具介绍2.1.seay代码审计工具的介绍2.2.rips 审计工具介绍二、DVWA通关讲解1. brute force 暴力破解low:Medium:High:impossible:2. Command Injection(命令行注入)low:Medium:High:3. CSRF(跨站请求伪造)low:Medium:High:4. File Inclusion(文件包含)low:Medium:High:impossible:5. File U
DVWA之SQL注入
m0_67393157的博客
07-28 492
DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如。
Web安攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8047
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
( Web漏洞实战教程(DVWA的使用和漏洞分析)2013完整版.pdf )
09-16
( Web漏洞实战教程(DVWA的使用和漏洞分析)2013完整版.pdf )不错的web漏洞演练平台的使用教程。
DVWABrute Force
GVFDBDF的专栏
09-05 1425
1、首先进入DVWA的平台:http://127.0.0.1/DVWA/login.php 默认username:admin 默认password:password 2、点击Brute Force(暴力破解),然后设置浏览器代理:127.0.0.1:8080 3、打开BrupSuit,设置为监听状态 4、输入任意用户名和密码,然
DVWA-Brute Force
qq_45751902的博客
04-21 3103
配置环境 将下载的DVWA放在www目录下,然后复制一份/config/config.inc.php.dist到当前目录,并且去掉.dist。 在phpMyadmin如果没有表dvwa,则新建一个表dvwa db_user,db_password是数据库的账号和密码 之后找到DVWA的路径,找到下面的create/reset database点击(再次进入phpMyadmin查看表dvwa,表中已经有数据,密码用md5加密),等2秒自动跳转登录页面 输入账号admin,密码password 如果有乱
DVWA靶场 Brute Force
SELF_REDEEM的博客
07-05 662
环境说明 本文章中的靶场环境使用虚拟机搭建,之前有一篇较为详细的搭建教程。为了能尽量真实地模拟渗透环境,可以再在虚拟机中创建一台Kali虚拟机,并且设置两台虚拟机的网络使用NAT模式,这样攻击机与靶机处于同一网段中,可以互相Ping通,如果Ping不通的话可能是防火墙等的原因,关一下就好了。Kali中包含了许多预装的常用渗透工具,可以直接使用。第二种方法,可以直接使用宿主机当攻击机,虚拟机网络使用桥接模式,这样也可以在宿主机与虚拟机之间互相Ping通。本文使用的是第二种环境。 漏洞发掘 SQL注入漏洞
DVWA - Brute Force (low, medium, high)
无节操
01-05 1711
low遍历字典(成功的前提是字典里有这个密码)import requests import re def main(): url = 'http://192.168.67.22/dvwa/vulnerabilities/brute/index.php' headers = { 'Cookie': 'PHPSESSID=h6r8555q2obvo388r4u50lg39
dvwa学习-brute force(暴力破解)
qq_17762247的博客
05-09 1849
一、简介: Brute-Force(暴力破解),又称为穷举攻击,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如:一个已知是四位数并且部由阿拉伯数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人透过字典攻击来...
DVWA - Brute Force (medium)
qq_42630215的博客
06-03 374
使用burp suite进行暴力破解 1.Medium级别的代码主要增加了mysql_real_escape_string函数,这个函数会对字符串中的特殊符号进行转义,基本上能够抵御sql注入攻击。 2.$pass做了MD5校验,杜绝了通过参数password进行sql注入的可能性。 3.没有加入有效的防爆破机制(sleep(2)应该算不上有效的防爆破机制)。 mysql_real_escape_string()函数 md5()函数 1.打开burp suite,配置好代理,截取数据包 2.在空白处
DVWA靶场-Brute Force暴力破解~保姆级教程!!!
2301_77360738的博客
05-09 3301
DVWA靶场初体验,超简单的暴力破解!!!
dvwa通关brute force
最新发布
06-08
DVWA中,Brute Force挑战是关于用户登录部分的一个环节,主要是测试用户的密码暴力破解能力。 当你遇到Brute Force关卡时,目标是尝试使用各种可能的用户名和密码组合,直到找到正确的登录凭证。这通常涉及到编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值