DVWA-Brute Force(暴力破解)

暴力破解漏洞，没有对登录框做登录限制，攻击者可以不断的尝试暴力枚举用户名和密码

LOW

审计源码

<?php

    // 通过GET请求获取Login传参，

    // isset判断一个变量是否已设置，判断方法是变量是否为null

if( isset( $_GET[ 'Login' ] ) ) {

    // 获取用户名

    $user = $_GET[ 'username' ];

    // 获取密码

    $pass = $_GET[ 'password' ];

    // 使用md5方法加密获取的密码

    $pass = md5( $pass );

    // 定义SQL查询语句

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    // mysqli_query()方法对数据库进行一次SQl查询

    // $GLOBALS 引用全局作用域中可用的全部变量，这里调用___mysqli_ston

    // is_object()检测___mysqli_ston是否为一个对象

    // 使用的是 a ? b : c 的格式，这个语法为，如果 a == true 则采用 b ，否则采用 c 后面的我也不是太懂

    // 检查数据库是否存在传入的用户名和密码

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //  mysqli_num_rows()获得SQL查询语句中的行数

    //  判断 $result 返回查询是否为空 和 返回的行数是否为1

    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // mysqli_fetch_assoc()方法获取返回行中列的信息

        $row    = mysqli_fetch_assoc( $result );

        // 获取返回行 avatar 列中的图片路径

        $avatar = $row["avatar"];

        // 登录成功

        // 打印欢迎和图片

        echo "<p>Welcome to the password protected area {$user}</p>";

        echo "<img src=\"{$avatar}\" />";

    }

    else {

        // 登录失败

        echo "<pre><br />Username and/or password incorrect.</pre>";

    }

    // is_null()检测一个变量是否为null,这句话我也不太懂

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}

?>

通过简单的代码分析，可以看到，这里没有对我们传入的username和password进行过滤，也没有什么认证机制

sql注入

虽然这里是暴力破解漏洞，但是在登录框中，对传入的用户名和密码不进行过滤，也会存在sql注入漏洞

构造payload，在用户名里输入admin'#,密码为空，发现可以登录成功

分析：

# 默认sql语句为

SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';

# 传入`admin'#`就变为了

SELECT * FROM `users` WHERE user = 'admin'#' AND password = '$pass';

注意: mysql中 # 号为注释

所以'对admin用户进行闭合，使用#对后面的密码进行注释

语句就成为了

SELECT * FROM `users` WHERE user = 'admin'

那么只要查询到admin用户，不需要输入密码就可以登录成功

暴力破解

需要使用工具burpsuite

由于没有做任何的拦截，直接开启代理抓取数据包

在登录框内随便输入用户名和密码进行提交，设置浏览器代理为127.0.0.1,端口为8080

打开burpsuite，点击登录，查看抓取数据包

这里可以看到，已经抓取到了用户名位admin，密码为123456的数据包

点击Action -> Send to Intruder Ctrl+I，将数据包转到重发模式

然后点击Intruder转到爆破模块

首先点击右侧Clear $清楚所有变量，然后选中username和password点击ADD $进行增加变量

选择攻击模式为Cluster bomb模式

这四个模式，我用自己的理解方式，简单的理解了一下

1.狙击手模式：对一个变量进行破解，只能选择一个字典，依次破解各个变量

2.攻城锥模式：所有变量使用一个字典，同时进行破解

3.干草叉模式：一个变量一个字典，在进行破解是，两个变量同时进行破解，各自用各自的字典

4.集束炸弹模式：一个变量对应一个字典，在使用第一个变量的第一个值得时候，第二个值会把所有的字典循环一遍，然后第一个变量循环第二个值，第二个值继续循环所有值。

然后选择字典，手写一个简单的字典，有正确用户名和密码就可以

同样加载密码字典，然后点击Start attack,进行攻击

我是用的是burpsuite community社区版，是免费的的，只能设置一个线程

如果使用的是burpsuite professional 专业版，可以设置很高线程，一瞬间就可以爆破成功

爆破过程中，点击Length返回长度从小到大进行排序，可以看到破解次数在48次的时候,用户名为admin，密码为password返回长度不一样

使用用户名admin,密码password登录测试

登录成功，成功过关

Medium

审计源码

<?php

if( isset( $_GET[ 'Login' ] ) ) {

    // 获取用户名

    $user = $_GET[ 'username' ];

    // mysqli_real_escape_string() 对 SQL 语句中的特殊字符进行转义

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 获取密码

    $pass = $_GET[ 'password' ];

    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 使用md5函数加密密码

    $pass = md5( $pass );

    // 定义SQL查询语句

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    // 进行SQL注入查询

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // 获取图片路径

        $row    = mysqli_fetch_assoc( $result );

        $avatar = $row["avatar"];

        // 登录成功

        echo "<p>Welcome to the password protected area {$user}</p>";

        echo "<img src=\"{$avatar}\" />";

    }

    else {

        // 登录失败 延迟2秒

        sleep( 2 );

        echo "<pre><br />Username and/or password incorrect.</pre>";

    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}

?>

通过观察，使用了mysqli_real_escape_string()对传入的用户名和密码进行实例化，所以像LOW一样的SQL注入是不可以了

但是对于我们的暴力破解没有做任何限制，只进行了一个登录失败返回延迟2秒，对暴力破解没太大影响

和上一关一样的暴力破解方式

High

审计源码

<?php

if( isset( $_GET[ 'Login' ] ) ) {

    // 检查CSRF令牌

    // checkToken()在网上找不到帮助，应该是检察官token值是否正确

    // $_REQUEST 收集HTML表单提交user_token的数据

    // $_SESSION 验证session_token是否正常

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 获取用户名

    // stripslashes() 删除反斜杠

    $user = $_GET[ 'username' ];

    $user = stripslashes( $user );

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 获取密码

    $pass = $_GET[ 'password' ];

    $pass = stripslashes( $pass );

    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    $pass = md5( $pass );

    // 数据库查询

    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // 获取图片

        $row    = mysqli_fetch_assoc( $result );

        $avatar = $row["avatar"];

        // 登录成功

        echo "<p>Welcome to the password protected area {$user}</p>";

        echo "<img src=\"{$avatar}\" />";

    }

    else {

        // 登录失败，延迟0~3秒

        sleep( rand( 0, 3 ) );

        echo "<pre><br />Username and/or password incorrect.</pre>";

    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}

// Generate Anti-CSRF token

generateSessionToken();

?>

这里添加了判断user_token的地方，还有一个登录失败，返回时间为0~3秒，想用这个延迟暴力破解那么user_token是什么呢

在我们访问目标服务器时，目标服务器会返回一个user_token，当我们对目标服务器进行一些操作时，服务器会验证我们的user_token，如果user_token值不对，则会操作失败

那么这个user_token在哪里？通过$_REQUEST可以知道，通过HTML表单获取的user_token

所以在进行爆破时，每一次爆破都需要获取一次user_token

burpsuite可以实现这个功能

首先抓包，转到爆破模块

选择字典，首先password字典这里不在演示，然后是user_token字典，需要在Option -> Grep-Extract中获取

并将该页面的token值复制

设置user_token字典，开始爆破

提示报错，是能进行单线程爆破，所以，设置单线程Resource Pool ->

设置后开始攻击

password密码返回长度不一样，爆破成功

Impossible

审计源码



<?php

if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {

    // 检查user_token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 去除用户名中的反斜杠

    $user = $_POST[ 'username' ];

    $user = stripslashes( $user );

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 去除密码中的反斜杠

    $pass = $_POST[ 'password' ];

    $pass = stripslashes( $pass );

    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 使用md5加密密码

    $pass = md5( $pass );

    // 默认值，字面意思

    $total_failed_login = 3;        //登录失败锁定次数

    $lockout_time       = 15;       //锁定时间

    $account_locked     = false;    //账户状态，默认不锁定

    // 引入了PDO技术，进行SQL查询

    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );

    $data->bindParam( ':user', $user, PDO::PARAM_STR );

    $data->execute();

    $row = $data->fetch();

    // 检查账户是否被锁定

    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {

        // User locked out.  Note, using this method would allow for user enumeration!

        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // 计算用户再次登录的时间

        // strtotime()将任何字符串的日期当做时间戳；获取数据库中last_login，用户最后一次登录的时间

        $last_login = strtotime( $row[ 'last_login' ] );

        // 获取的时间加上 15分钟，得到锁定时间

        $timeout    = $last_login + ($lockout_time * 60);

        // 获取当期时间

        $timenow    = time();

        /*

        print "The last login was: " . date ("h:i:s", $last_login) . "<br />";

        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";

        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";

        */

        // 如果当前时间小于锁定时间，则继续锁定账户

        if( $timenow < $timeout ) {

            $account_locked = true;

            // print "The account is locked<br />";

        }

    }

    // 进行账户名和密码的查询

    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );

    $data->bindParam( ':user', $user, PDO::PARAM_STR);

    $data->bindParam( ':password', $pass, PDO::PARAM_STR );

    $data->execute();

    $row = $data->fetch();

    // 如果登录成功

    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {

        // 获取账户avatar，failed_login,last_login信息

        $avatar       = $row[ 'avatar' ];

        $failed_login = $row[ 'failed_login' ];

        $last_login   = $row[ 'last_login' ];

        // 登录成功

        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";

        echo "<img src=\"{$avatar}\" />";

        // 登录失败的次数和时间

        if( $failed_login >= $total_failed_login ) {

            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";

            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";

        }

        // 重置登录错误次数

        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );

        $data->bindParam( ':user', $user, PDO::PARAM_STR );

        $data->execute();

    } else {

        // 登陆失败返回随机2~4秒延迟

        sleep( rand( 2, 4 ) );

        // 给用户一些反馈

        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // 更新登录错误的计数器

        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );

        $data->bindParam( ':user', $user, PDO::PARAM_STR );

        $data->execute();

    }

    // 设置上次登录的时间

    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );

    $data->bindParam( ':user', $user, PDO::PARAM_STR );

    $data->execute();

}

// 生成反CSRF令牌

generateSessionToken();

?>

Impossible!