DVWA—Brutefoce(暴力破解)

最新推荐文章于 2024-05-09 10:15:34 发布
最新推荐文章于 2024-05-09 10:15:34 发布
阅读量1.2k 收藏 7
点赞数 2
分类专栏: DVWA通关教程 文章标签: 靶机 渗透测试 安全漏洞
本文链接:https://blog.csdn.net/weixin_59679023/article/details/121016701
版权

DVWA靶机:172.16.12.10

windows攻击机:172.16.12.7

实验步骤

一、Low级

1、查看源码及分析

先调整DVWA安全级别为Low,点击提交

点击左侧暴力破解,进入主题

查看源代码(在页面底部)

 

源码分析

<?php
//检查变量是否设置(先看有没有Login参数)
if( isset( $_GET[ 'Login' ] ) ) {
//获取密码,存入pass变量中
    $user = $_GET[ 'username' ];
//获取密码
    $pass = $_GET[ 'password' ];
//将密码使用md5加密
    $pass = md5( $pass );
//构建SQL语句,查询结果保存在query变量中
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
//数据库查询,将查询结果保存在result变量中,查到了,保存用户具体信息;未查到,就在页面上输入错误结果,result为空
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//结果存在并且返回一条记录,说明查到了
    if( $result && mysqli_num_rows( $result ) == 1 ) {
//查询结果关联数据row,row已经变成键值对
        $row    = mysqli_fetch_assoc( $result );
//获取登录成功图片
        $avatar = $row["avatar"];
        // Login successful
//登录成功,输出到页面上
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
//未查到,错误信息输出到页面上
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
//释放资源
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以看到,服务器只是验证了参数 Login 是否被设置(isset 函数在 php 中用 来检测变量是否设置,该函数返回的是布尔类型的值,即true/false),没有 任何的防爆破机制,对参数 username 没有做任何过滤,存在明显的 sql 注入 漏洞,当然,$pass 做了 MD5 校验,杜绝了通过参数 password 进行 sql 注 入的可能性

2、漏洞复现

既然没有做任何身份校验,那就先抓包看看,随便输入用户名和密码,点击登录

Burp抓包如下

发送到Instruder进行爆破

点击测试器——位置——清除,然后在username和pasword处添加双s

攻击类型选Clusterbomb(对多个目标进行爆破)

注:

sniper 一个字典,两个参数,先匹配第一项再匹配第二项

Battering ram 一个字典,两个参数,同用户名同密码

Pitchfork 一个字典,两个参数,同行匹配,短的截至

Cluster bomb 两个字典,两个参数,交叉匹配,所有可能

点有效载荷,选择1,运行时文件,文件选择你用户名字典存放位置

选2,运行时文件,文件选择你密码字典

点选项,没有修改内容,点开始攻击

完成后点长度,长度和其他不一样的就是正确的用户名和密码

 

二、Medium级别

1、查看源代码及分析

<?php
//是否存在Login变量(标签里面的name),检查是否存在Login按钮
if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
//获取用户名,存入user变量里
    $user = $_GET[ 'username' ];
//user中x00,n,r,,’,”,x1a转义,防SQL注入
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
//pass中x00,n,r,,’,”,x1a转义,防SQL注入
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
//密码加密
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

相比 Low 级别的代码,Medium 级别的代码主要增加了mysql_real_escape_string 函数,这个函数会对字符串中的特殊符号(

x00,n, r,,’,”,x1a)进行转义,基本上能够抵御 sql 注入攻击(宽字节注入可以 搞定),但是,依然没有加入有效的防爆破机制(sleep(2)实在算不上)。

2、漏洞复现

和Low级别一样进行暴力破解

三、High级别

1、查看源代码及分析

<?php

if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Default values
    $total_failed_login = 3;
    $lockout_time       = 15;
    $account_locked     = false;

    // Check the database (Check user information)
//如果在锁定状态就输出已被锁定
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would alLow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // Calculate when the user would be alLowed to login again
//计算用户能再次登录的时间
        $last_login = strtotime( $row[ 'last_login' ] );
        $timeout    = $last_login + ($lockout_time * 60);
        $timenow    = time();

        /*
        print "The last login was: " . date ("h:i:s", $last_login) . "<br />";
        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";
        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";
        */

        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow < $timeout ) {
            $account_locked = true;
            // print "The account is locked<br />";
        }
    }

    // Check the database (if username matches the password)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // If its a valid login...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // Get users details
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // Login successful
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // Had the account been locked out since last login?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }

        // Reset bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // Login failed
        sleep( rand( 2, 4 ) );

        // Give the user some feedback
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // Update bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // Set the last login time
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

High 级别的代码加入了 Token,可以抵御 CSRF 攻击,同时也增加了爆破的难度,通过抓包,可以看到,登录验证时提交了四个参数:username、

password、Login 以及 user_token。

2、漏洞复现

随便输入密码,点击登录

 

抓包如下,复制全部发送到instruder

点测试器——位置——清除,然后在passwd和token处添加,攻击模式为Pitchfork

点选项,找到grep—Extract,点击添加

点击获取回复(refetch response)进行一个请求,即可看到响应报文,找到橘色字体部分用鼠标选中,上面会自动填入数据的起始和结束标识,点击ok,则会在列表中看到一个grep项。(橘色字体保存到记事本,后面会用到)

将请求引擎( Request Engine)中的 Number of threads 改为 1。

找到重定向(Redirections)模块设置允许重定向,选择总是(always)

返回有效载荷( payloads) 栏,payload 1 设置为密码字典

payload 2 选择 payload type 为“(递归搜索)Recursive grep”,然后选择下面的 extract grep 项即可。将刚刚 保存的值复制到箭头处,然后点击开始攻击

点击长度,即可看到正确密码所返回长度和其他不一样,即为正确密码

 

四、Impossible级

1、源码分析

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
//注册token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
       echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到Impossble级别的代码加入了可靠的防爆破机制,当检测到频繁的错误登陆后,系统会将账户锁定,爆破也就无法继续。

2、尝试暴力破解,账户被锁定

 

Cwillchris
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
burp暴力破解DVWA各等级Brute Force
qq_36915061的博客
11-28 379
LOW等级 首先使用burp抓包 将该数据包发送到intruder模块进行暴力破解 到intruder模块后,选择要破解的*§字段§* 更改破解方式(attack type) Sniper:狙击手的意思,用字典中的每一个值破解每一个字段,即一次尝试中,只有一个字段改变。 Battering ram:用每个payload破解所有字段,即每一次破解,所以字段都变成payload的值。 ...
dvwa 代码注入impossible代码审计
一个努力学习网安的小牛马
11-22 219
cmd。
DVWA靶场-Brute Force暴力破解~保姆级教程!!!
最新发布
2301_77360738的博客
05-09 1377
DVWA靶场初体验,超简单的暴力破解!!!
DVWA-impossible代码审计
yuan_boss的博客
09-29 540
暴力破解的impossible级别,在代码语法上,主要使用了token校验防止CSRF攻击,并且对于一起sql语句都使用预编译的方式执行。在代码逻辑上添加了登录规则,失败登录次数,用户锁定规则。命令注入的impossible级别:在代码语法上,加入token校验。在逻辑上对数据进行消毒,然后借助程序来拼接有效IP,从而防止用户输入的非法数据被执行。
DVWA】11. Brute Force暴力破解(High+Impossible)
Zichel77的博客
12-14 1163
在代码中,使用 prepare 方法准备 SQL 语句,并使用 bindParam 方法绑定参数,确保输入的用户名和密码在查询中被正确地转义和处理。mysqli_real_escape_string(string,connection)函数会对字符串string中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。延时反应:在登录失败的情况下,代码通过 sleep 函数来引入一个随机的延迟时间(2 到 4 秒之间),这样可以防止暴力破解者通过快速尝试大量不同的用户名和密码组合。
DVWA靶机之暴力解密
qq_43332077的博客
12-14 903
DVWA靶机暴力破解 Brute Force DVWA靶机共有四级难度,分别是:low(最低级),medium(中级),high(高级),impossible(不可能等级) 暴力破解是指在未知用户名和密码的情况下,采用破解软件+破解字典来爆破出我们所需的信息,但暴力破解技术含量较低,成功几率小,我们采用burpsuit来对用户名进行破解 low 我们在username和password框内随意...
实验1-DVWA部署暴力破解.docx
01-05
1. 能描述暴力破解; 2. 能应用Low等级、Medium等级的暴力破解手工和自动化方法; 3. 能应用High等级的暴力破解自动化方法及Impossible等级修复方法; 4. 能用算法描述暴力破解过程(范围、动作、结果)。 1. 暴力破解...
暴力破解字典(千万级别)
12-02
超实用暴力破解字典,千万级,好用,话不多说,自己下。。。 方便做渗透实验。。。。。。。。。。。。。。。
python实现暴力破解.py
06-18
使用python简单实现dvwa中的暴力破解,该代码仅用于学习,禁止赖用,不得用于违法活动。
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
DVWA靶场搭建与使用
09-02
DVWA靶场搭建
DVWA源代码
10-16
dvwa web漏洞演示平台代码,有需要的朋友可以下载
DVWA1.0.7汉化版源码.zip
11-02
安信华Web弱点演示系统基于知名WEB弱点测试系统DVWA1.0.7, 由独自等待汉化,ay暗影提供软件封装, 可能部分汉化不理想,大家可以给我反馈。 安信华web弱点演示系统基于DVWA1.0.7汉化而来,相对于原版本修改如下功能: 1、全界面汉化,包括介绍及相应的说明,更适合国内使用。 2、新增加不安全的验证码测试模块。 3、新增webservice代码执行。 4、增加每个项目的测试方法(低安全级别)。 5、修正不安全验证中密码更改失效问题。 6、解决原版中文乱码问题。 7、增加了暴力破解视频 8、修改命令执行代码中的错误,原版基于linux测试,汉化版则是在windows下面测试。
DVWA靶场源码分享
12-11
学习使用,大家一起进步,此资源是为了无法在github上临时下载的同学分享,以备用,不需要积分,如果被调整了积分请联系UP主
DVWA靶机-暴力破解(Brute Force)
weixin_43726831的博客
10-11 2656
DVWA靶机-暴力破解 1.DVWA靶机的4个安全等级 DVWA Security分为四个等级,low,medium,high,impossible,不同的安全等级对应了不同的漏洞等级。 1.low-最低安全等级,无任何安全措施,通过简单毫无安全性的编码展示了安全漏洞。 2.medium-中等安全等级,有安全措施的保护,但是安全性并不强。 3.high-高等安全等级,有安全措施保护,是中等安全等级...
DVWA-DOM型XSS全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-30 3124
DOM型XSS全等级绕过前言一、LOW级别二、Medium级别图片插入语句法三、High级别字符 # 绕过服务端过滤四、Impossible级别 前言     DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Do
DVWA Brute Force(暴力破解)全等级
柠檬i的博客
12-17 2285
DVWA Brute Force(暴力破解
暴力破解(DVWA和pikachu)
qq_74259765的博客
07-30 566
自用笔记,使用burpsuite,对DVWA和pikachu靶场的暴力破解模块进行入门练习。简单介绍了步骤和过程。
DVWA各个关卡源码分析
不想当脚本小子的脚本小子
12-19 2255
前一阵子做完DVWA靶场以后只是做了通关练习,现在将DVWA各个关卡的源码分析一下,有利于更好的理解漏洞的原理与攻防。我主要是分析一下源码,看看它为什么会有漏洞以及不同等级是如何防御的 SQL注入: 原理:SQL注入是指web应用程序对用户输入数据的合法行没有判断,前端传入后端的参数是可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。就是说前端的输入影响了后端的数据。 主要满足两个条件:1.参数用户可控。2.参数代入数据库查询 ...
dvwa暴力破解参考文献
05-19
以下是dvwa暴力破解的参考文献: 1. DVWA官方文档:https://github.com/ethicalhack3r/DVWA/wiki 2. DVWA漏洞实验平台及渗透测试实战详解:https://www.cnblogs.com/-qing-/p/11787296.html 3. DVWA实验环境搭建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cwillchris

你的鼓励将让我产出更多优质干货

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值