DVWA--Insecure CAPTCHA(不安全的验证码)(全难度)

最新推荐文章于 2024-04-02 16:04:45 发布
最新推荐文章于 2024-04-02 16:04:45 发布
阅读量582 收藏 3
点赞数 1
分类专栏: DVWA 文章标签: DVWA 渗透测试 web安全 验证码绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/113890801
版权

DVWA–Insecure CAPTCHA(不安全的验证码)

Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。

逻辑

这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。

image-20210220151608814

服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。

recaptcha_check_answer( p r i v k e y , privkey, privkey,remoteip, c h a l l e n g e , challenge, challenge,response)

参数 p r i v k e y 是 服 务 器 申 请 的 p r i v a t e k e y , privkey是服务器申请的private key, privkeyprivatekeyremoteip是用户的ip, c h a l l e n g e 是 r e c a p t c h a c h a l l e n g e f i e l d 字 段 的 值 , 来 自 前 端 页 面 , challenge是recaptcha_challenge_field字段的值,来自前端页面 , challengerecaptchachallengefieldresponse是recaptcha_response_field字段的值。函数返回ReCaptchaResponse class的实例,ReCaptchaResponse类有2个属性 :

$is_valid是布尔型的,表示校验是否有效。

$error是返回的错误代码。

注册谷歌验证码

地址:https://www.google.com/recaptcha/

登录谷歌账号后开始注册谷歌验证码。

image-20210220152036297

注册成功后会得到两个key。public_key和private_key。把这两个key拷贝到DVWA的配置文件中(DVWA/config/config.inc.php)

image-20210220152144140

image-20210220152336433

然后就可以开始验证码测试。

image-20210220143956106

难度分级

Low

核心代码
<?php

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
    // Hide the CAPTCHA form
    // $_POST[ 'step' ]为隐藏的一个input标签,value=1
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key'],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
            // Show next stage for the user
            echo "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if both password match
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the end user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with the passwords matching
        echo "<pre>Passwords did not match.</pre>";
        $hide_form = false;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>
分析

可以看到,服务器将修改密码操作分成了两步:第一步检查用户输入的验证码,验证通过后,服务器返回表单;第二步客户端提交post请求,服务器完成更改密码的操作。但是,这其中存在明显的逻辑漏洞,服务器仅仅通过检查Change、step 参数来判断用户是否已经输入了正确的验证码

利用

通过抓包将step的值由1修改为2,即可绕过验证码。

可以轻松的完成CSRF攻击,让受害者修改自己的密码。

Medium

核心代码
<?php

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key' ],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
            // Show next stage for the user
            echo "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
                    <input type=\"hidden\" name=\"passed_captcha\" value=\"true\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if they did stage 1
    if( !$_POST[ 'passed_captcha' ] ) {
        $html     .= "<pre><br />You have not passed the CAPTCHA.</pre>";
        $hide_form = false;
        return;
    }

    // Check to see if both password match
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the end user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with the passwords matching
        echo "<pre>Passwords did not match.</pre>";
        $hide_form = false;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>
分析

Medium等级在Low等级的基础加了一个对$_POST[ ‘passed_captcha’ ]的检查。然后该参数仍然是客户端提供的,可以通过抓包将该参数修改为true即可绕过验证,

利用

同时修改step的值与$_POST[ ‘passed_captcha’ ]的值。

同样可以完成CSRF攻击。

High

核心代码
<?php

if( isset( $_POST[ 'Change' ] ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key' ],
        $_POST['g-recaptcha-response']
    );

    if (
        $resp || 
        (
            $_POST[ 'g-recaptcha-response' ] == 'hidd3n_valu3'
            && $_SERVER[ 'HTTP_USER_AGENT' ] == 'reCAPTCHA'
        )
    ){
        // CAPTCHA was correct. Do both new passwords match?
        if ($pass_new == $pass_conf) {
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "' LIMIT 1;";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for user
            echo "<pre>Password Changed.</pre>";

        } else {
            // Ops. Password mismatch
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }

    } else {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>
分析

验证通过的逻辑是:验证码正确或者 $_POST[ ‘g-recaptcha-response’ ] == ‘hidd3n_valu3’ && $_SERVER[ ‘HTTP_USER_AGENT’ ] == ‘reCAPTCHA’ ,所以我们只需要抓包修改这个两个参数的值即可。

利用

抓包修改上述两个参数的值。但是此处使用了Token机制,无法完成CSRF攻击。

Impossible

核心代码

<?php

if( isset( $_POST[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_new  = stripslashes( $pass_new );
    $pass_new  = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_new  = md5( $pass_new );

    $pass_conf = $_POST[ 'password_conf' ];
    $pass_conf = stripslashes( $pass_conf );
    $pass_conf = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_conf ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_conf = md5( $pass_conf );

    $pass_curr = $_POST[ 'password_current' ];
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key' ],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        echo "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // Check that the current password is correct
        $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
        $data->execute();

        // Do both new password match and was the current password correct?
        if( ( $pass_new == $pass_conf) && ( $data->rowCount() == 1 ) ) {
            // Update the database
            $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
            $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
            $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
            $data->execute();

            // Feedback for the end user - success!
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Feedback for the end user - failed!
            echo "<pre>Either your current password is incorrect or the new passwords did not match.<br />Please try again.</pre>";
            $hide_form = false;
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>
分析

可以看到,Impossible级别的代码增加了Anti-CSRF token 机制防御CSRF攻击,利用PDO技术防护sql注入。

修改密码的时候会验证当前密码是否正确,进一步加强了身份认证。验证码无法绕过。

利用

无。

wwxxee
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA-master.zip
01-04
DVWA-master.zip
DVWAInsecure CAPTCHA(不安全验证码
RexHa的博客
10-03 1220
DVWA安全验证码
【工具-DVWADVWA渗透系列六:Insecure CAPTCHA
qqchaozai的专栏
10-24 1947
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
DVWA靶场-----Insecure CAPTCHA(不安全验证码
m0_65712192的博客
11-18 909
DVWA靶场-----Insecure CAPTCHA(不安全验证码
DVWA靶场通关----(6) Insecure CAPTCHA教程
最新发布
z09364517158的博客
04-02 1058
服务器的验证逻辑是当$resp(这里是指谷歌返回的验证结果)是false,并且参数recaptcha_response_field不等于hidd3n_valu3(或者http包头的User-Agent参数不等于reCAPTCHA)时,就认为验证码输入错误,反之则认为已经通过了验证码的检查。用户输入验证码发送数据回去,这里发给的是访问网站的服务器,网站的服务器拿到验证码后,再去访问谷歌的服务器,谷歌的服务器会判断验证码是否正确,再将结果返回给网站服务器。考虑:直接跳过第一阶段,输入的密码一致,是否可以?
DVWAInsecure CAPTCHA(不安全验证码绕过)
shmilyzmy的博客
10-22 1162
low 1.首先在burpsuite中打开代理,即图中的第一步,登录dvwa 2.修改安全等级 ,分析源码 3.返回burpsuite开启代理之后,回到dvwa界面,(切记记住输入的密码)点击change提交,之后再返回burpsuite,可看见服务器返回的表单 检查用户输入的验证码验证码通过后服务器返回表单 客户端提交post请求,服务器完成更改密码的操作 选后鼠标右击,点击send to repeater medium 前面步骤...
DVWA11_Insecure CAPTCHA(不安全验证码
weixin_44193247的博客
03-12 3346
DVWA漏洞复现练习篇
DVWAInsecure Captcha
谢公子的博客
08-05 5352
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
DVWA-不安全验证码
qq_60848021的博客
06-26 1946
出现该问题是因为使用reCAPTCHA没有申请密钥,需要手动填入密钥,打开config.inc.php配置文件,找到 改为: 漏洞介绍:CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共自动程序。 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。 攻击者绕过C
DVWAInsecure CAPTCHA
baynk的博客
10-29 1075
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ Inse...
DVWA-master安装包
02-28
学习网络安全的利器
DVWA Insecure CAPTCHA
2201_75843485的博客
10-21 37
参数$privkey是服务器申请的private key ,$remoteip是用户的ip,$challenge 是recaptcha_challenge_field 字段的值,来自前端页面 ,$response是 recaptcha_response_field 字段的值。意思是不安全验证码,是指验证码验证可以被绕过,一般都是验证码的验证和最终修改的验证分离,导致了中间过程(验证码的验证结果)可以被篡改。跟LOW没什么区别,依旧是抓包,然后加上passed_captcha,再将step改为2就行。
DVWA-07-Insecure CAPTCHA
dahe
03-01 235
1.概念 Insecure CAPTCHA, 不安全验证码CAPTCHA 是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称,这里主要是验证流程出现了逻辑漏洞,所以一般大家也称之为不安全的验证流程。 从网络上看到的reCAPTCHA流程 2.实验 2.1 LOW <?php if( isset( $_POST[ 'Change'...
DVWA通过教程之不安全验证码 Insecure CAPTCHA
→_→
09-26 1320
关于验证码的还可学习下:浅谈“​​​验证码功能缺陷” Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌的验证码表示不背这个锅。 一开始访问是这样的页面:
DVWA通关攻略之不安全验证码
勿山几已
05-22 356
简单介绍不安全验证码漏洞及其利用方式
DVWA(6)不安全验证码(CAPTCHA) LOW-HIGHT 操作记录
lllllaaa111的博客
11-08 259
今天带来第六期不安全验证码操作记录。初次接触DVWA,写下自己的操作记录,希望可以帮助每个刚接触DVWA的新手,同时希望可以提升自己的技术。注:如有操作不当的地方希望可以得到大神指导、交流。修改密码,进行抓包将1改为2,提示修改成功。
DVWA】--- 六、不安全验证码(Insecure CAPTCHA)
qq_43168364的博客
05-31 604
Insecure CAPTCHA 目录 一、说明 由于该模块需要一点不健康的东西才可以访问这里就对它每一关的代码审计一下就行了。 二、Low级别 代码审计 相关函数 recaptcha_check_answer()函数:检查用户输入的正确性。 这一关我们只需要抓包改参数 二、medium级别 源码审计 相关函数 ...
dvwa-不安全验证码
AI_SumSky的博客
11-27 301
安全验证码 low级别 随便改个密码看看,发现报错了,因该是本地环境没配置好验证码不能返回验证图片。 分析下源码发现他有个验证码, 在步长step等于1时验证recaptcha,但他还有一个step步长等于2的if语句这个是没有验证码的,所以第一个if是可以绕过的 抓个包改改参数,step=2,发现不用验证码也可以修改成功,这个和crsf有点像因为他们能通过修改包达到一样的效果 medium级别 分析页面源码发现和low级别相比多了个passed_captcha参数验证只需使其为真便可跳过 抓
Insecure CAPTCHA(不安全验证码
qq_42176207的博客
05-11 1510
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称。验证码是没有问题的,关键是代码写的有问题,可以绕过。 环境需要把config.inc.php中的recaptcha_public_key \recaptcha_private_key补充。 reCAPTCHA
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip...值得注意的是,dvwa-master zip仅用于合法的安全研究和学习目的,未经授权的攻击行为是不被允许的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值