DVWA之暴力破解攻击方法,审计,解决办法

最新推荐文章于 2024-06-28 08:26:59 发布
最新推荐文章于 2024-06-28 08:26:59 发布
阅读量873 收藏
点赞数
分类专栏: PHP审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43858799/article/details/97029579
版权

一、攻击方法

1.先随意输入账号和密码
在这里插入图片描述
2.用Burnsuite抓包并传到intruder中
在这里插入图片描述
在这里插入图片描述
3.清除变量 并将username和password添加为新变量
在这里插入图片描述
在这里插入图片描述

4.选择Cluster bomb方式 在payloads中导入字典
在这里插入图片描述
payload 1 2都导入相同的即可
在这里插入图片描述
点击start attack 开始暴力破解
在这里插入图片描述
5.结束后 筛选length
在这里插入图片描述
拿到账号:admin
密码:password

6.登陆成功
在这里插入图片描述

二、代码审计:

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

通过这俩段代码审计得知

$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";  //将从数据库中查找对应的user和password的方法赋值给query变量
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    //mysqli_query() 函数执行某个针对数据库的查询  //GLOBALS返回变量的字典                         //die:输出一条消息,并退出当前脚本。    is_object:用于检测变量是否是一个对象。          类似于三目运算符

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

PHP只接受了用户输入的账号密码 并通过匹配数据库中的账号密码 判断是否正确

if语句中也只做了简单判断 没有防止暴力破解

三、解决方法:

防止暴力破解的方法:
1、限制输入次数 例如:输入错误3次锁定输入5分钟
2、验证码 例如:图片 文字验证码

这里采用第一种解决方法:

在这里插入代码片<?php

if( isset( $_GET[ 'Login' ] ) ) {
    $user = $_GET[ 'username' ]; //通过前端输入username赋值给user变量
    $pass = $_GET[ 'password' ];//通过前端输入password赋值给pass变量
    $pass = md5( $pass );//MD5解析变量pass的值

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";  //将从数据库中查找对应的user和password的方法赋值给query变量
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    //mysqli_query() 函数执行某个针对数据库的查询  //GLOBALS返回变量的字典                         //die:输出一条消息,并退出当前脚本。    is_object:用于检测变量是否是一个对象。          类似于三目运算符
	
	// 默认值
	$total_failed_login = 3;//尝试次数
    $lockout_time       = 15;//锁定时间
    $account_locked     = false;//默认不锁定

    // 检查数据库(检查用户信息)
	$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' ); //prepare:准备一个用于迭代执行的查询
    $data->bindParam( ':user', $user, PDO::PARAM_STR ); //通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。
    $data->execute();
    $row = $data->fetch();

    // 检查用户是否已被锁定。
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // 用户被锁定。

        // 计算何时允许用户再次登录
        $last_login = strtotime( $row[ 'last_login' ] );
        $timeout    = $last_login + ($lockout_time * 60);
        $timenow    = time();

    

        // 如果尚未锁定帐户,请检查是否已经过了足够的时间
        if( $timenow < $timeout ) {
            $account_locked = true;
        }
    }

    // 检查数据库(如果用户名与密码匹配)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // 如果是有效登录...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // 获取用户详细信息
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // 登陆成功
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // 该帐户自上次登录后是否被锁定?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }

        // 重置错误登陆次数
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // 登陆失败
        sleep( rand( 2, 4 ) );

        // 给用户一些反馈
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // 更新登陆错误次数
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // 设置上次登录时间
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}


?>

检查是否锁定 以及 如何锁定的关键代码:

// 默认值
	$total_failed_login = 3;//尝试次数
    $lockout_time       = 15;//锁定时间
    $account_locked     = false;//默认不锁定

    // 检查数据库(检查用户信息)
	$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' ); //prepare:准备一个用于迭代执行的查询
    $data->bindParam( ':user', $user, PDO::PARAM_STR ); //通过告诉数据库参数的数据类型,可以降低 SQL 注入的风险。
    $data->execute();
    $row = $data->fetch();

    // 检查用户是否已被锁定。
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // 用户被锁定。

        // 计算何时允许用户再次登录
        $last_login = strtotime( $row[ 'last_login' ] );
        $timeout    = $last_login + ($lockout_time * 60);
        $timenow    = time();

    

        // 如果尚未锁定帐户,请检查是否已经过了足够的时间
        if( $timenow < $timeout ) {
            $account_locked = true;
        }
    }

    // 检查数据库(如果用户名与密码匹配)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // 如果是有效登录...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // 获取用户详细信息
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // 登陆成功
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // 该帐户自上次登录后是否被锁定?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }

        // 重置错误登陆次数
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // 登陆失败
        sleep( rand( 2, 4 ) );

        // 给用户一些反馈
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // 更新登陆错误次数
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // 设置上次登录时间
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}

测试结果:
在这里插入图片描述
输入多次之后 账号被锁定 即使输入对的账号密码也无法登陆:
在这里插入图片描述

放羊的弔弔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
20201225DVWA暴力破解(Brute Force)模块全难度详解
qq_45290991的博客
12-30 674
一、low级别 low级别直接用BP爆破就好了,看源码: Brute Force Source vulnerabilities/brute/source/low.php <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5(
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)
ElsonHY的博客
11-29 947
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)前言0x01 Brute Force(暴力破解)CLASS:LOWCLASS:MEDIUMCLASS:HIGHCLASS:IMPOSSIBLE 前言 最近在复习一些基础的常见web漏洞,经典的靶机大家肯定最想到的就是DVWA了,我用的是1.10版本,目前里面的题型包括了14个专题板块,题目难度也分为低(low)中(medium)高(high)和不可能(impossible)几个等级。 Brute Force(暴力破解
5、DVWA代码审计(2)
Yzz_的博客
03-02 475
【代码】5、DVWA代码审计(2)
DVWA-impossible代码审计
来日可期的博客
10-19 558
DVWA-impossible代码审计
逻辑漏洞 暴力破解(DVWA靶场)与验证码安全 (pikachu靶场) 全网最详解包含代码审计
最新发布
dzqxwzoe的博客
06-28 634
在当今互联网的广袤世界中,各式交互平台层出不穷。每一个交互平台几乎都要求用户注册账号,而这些账号则成为我们在数字世界中的身份象征。账号的安全性变得至关重要。然而,账号安全常常面临着暴力破解这一威胁。暴力破解是一种对账号安全构成严重威胁的行为。这类攻击试图通过尝试大量密码组合来非法获取账号的访问权限。这种行为不仅对个人隐私构成风险,还可能导致个人信息泄露和账号被盗用的情况发生。验证码则是账号安全的守护者之一,它是一道关卡,旨在确保登录或重置密码等敏感操作仅供合法用户进行,从而防止未经授权的访问和暴力破解
PHP代码审计入门-DVWA靶场暴力破解
身高两米不到的博客
11-10 1456
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单的php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈学习记录,看看曾经遥不可及的代码审计能不能慢慢啃下来。这里相较于low,最大的区别点在于使用mysqli_real_escape_string()函数进行转义以防止恶意注入,所以万能密码登陆用不了了。本章为代码审计入门第五篇-DVWA靶场篇,对DVWA靶场漏洞进行代码审计
DVWA之SQL注入详解(包含知识点)
10-20
这种攻击方法对数据库安全构成了极大的威胁,因此了解其原理和防御措施对于保护信息系统非常重要。 在Web程序中,三层架构思想是将业务应用分为三个层次,即界面层、业务逻辑层和数据访问层。这种设计模式有助于...
DVWA靶场-常见漏洞原理以及防御
大博的博客
02-17 2812
本文章可做DVWA普及课件所用 暴力破解 low 查看代码可知,代码中并没有任何防护手段,没有防爆破措施,比如验证码或者是错误登录限制措施,仅仅是设置login参数是否存在。 存在暴力破解和SQL注入。 演示自行使用BP以及自带字典。 medium 比较代码看出,username和password参数都是经过一次mysql_real_escape_string函数转换。查阅手册可知 这个只是减...
Brute Force(暴力破解
kid的博客
04-23 6763
Brute Force(暴力破解) 前言 主要针对dvwa的Brute Force做一个练习,学习了解Brute Force。 主要会用到brupsuite和hydra两个工具。 练习 Low 可以看到下面是暴力破解的界面,但看到这个界面我第一反应是尝试sql注入(最近在一个靶场练习,里面有道sql注入也是这种用户登录,而且暂时还没搞定…,后面搞定再写篇博客讲讲菜鸡的辛酸泪…),言归正传,我们还...
代码审计新手起步篇--DVWA
weixin_45682070的博客
06-22 229
  Brute Force 关于爆破我就只是简单说一下就可以了,感觉没啥好说的,而且他这个是没有验证码的,如果查询错误只会休眠一段时间 else { // Login failed sleep( 2 ); echo "<pre><br />Username and/or password incorrect.</pre>"; } //Medium和High都只是休眠一段时间 在Impossible当中,登陆账号错.
DVWA通关--Brute Force(暴力破解
箭雨镜屋
07-20 1625
按照我的理解,暴力破解的成功概率,一方面取决于被攻击系统是否有防暴力破解机制,防暴力破解机制是否高效,另一方面取决于攻击者的字典以及计算机性能。 本文主要目的是分析防暴力破解机制是否有效,以及如何绕过某些防暴力破解机制,因此,出于节省时间的目的,会使用包含正确答案的比较小的用户名密码字典,仅作示范。 LOW 通关思路 1、首观察页面,发现只要输入的用户名或者密码有一个错误,就回显“Username and/or password incorrect.”,并且尝试了6次用admin用户登录,6次都输
CTF攻防世界web初级区详解
qq_62540010的博客
12-05 4384
最近几天刚刚接触了ctf,去尝试了一下攻防世界web区的新手篇题目,以下解题过程记录一下自己的学习体会与心得,如果哪里有错可以在评论区告诉我,我及时改正。 1.view_source 1.1获取场景后: 1.2根据题目要求,我们需要查看网页源代码,打开方式一种是鼠标右键打开,一种是按F12键,题目规定无法右键,所以我们按F12打开,如图: 1.3第二种解法:在其他网页打开源代码后把地址换成该网页地址,即view-source:后加上该网页地址,如图: 至此拿到flag,第一题完成 2.robot
利用burpsutie爆破账号密码
mulincong的博客
05-31 1469
网站密码爆破
DVWA暴力破解攻击(Brute Force)
弱弱的小雨鸟
01-14 1万+
暴力破解(Brute Force)的意思是攻击者借助计算机的高速计算不停枚举所有可能的用户名和密码,直到尝试出正确的组合,成功登录系统。理论上,只要字典足够大,破解总是会成功的。阻止暴力破解的最有效方式是设置复杂的密码(英文字母大小写、数字、符号混合)。而如果你的字典是从某网站泄露出来的,你使用它试图登陆其他网站,就便是撞库。撞库攻击的成功率高于暴力破解,因为你在A网站的用户名、密码通常和B网站的
更新上传git/gitee项目时出现密码配置错误(incorrect username or password)的解决办法
热门推荐
qq_41157421的博客
10-24 4万+
1.输入【git remote add origin git地址】 命令时出现incorrect username or password的错误,这是因为之前弹出输入账户和密码时输错了,而且会一直默认错误的账户和密码,因此需要把之前输入的账户密码缓存删除。 2.点击控制面板-&gt;用户账户-&gt;凭据管理器 把这个凭据删除掉,再重新拉git项目,会弹出框让你重新输入账户和密码,正确输入后就可...
DVWA靶场通关-已完结
Yb_140的博客
01-22 8766
目录 1.Brute Force(暴力破解) Low Medium High Impossible 2.Command Injection(命令执行) Low Medium High Impassible 3.CSRF(跨站请求伪造) Low Medium High Impassible 4.File Inclusion(文件包含) Low Medium High Impassible 5.File Upload(文件上传) Low Medium High
DVWA——暴力破解
m0_74426634的博客
04-04 2065
概述:穷举法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。
dvwa暴力破解参考文献
05-19
以下是dvwa暴力破解的参考文献: 1. DVWA官方文档:https://github.com/ethicalhack3r/DVWA/wiki 2. DVWA漏洞实验平台及渗透测试实战详解:https://www.cnblogs.com/-qing-/p/11787296.html 3. DVWA实验环境搭建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值