【工具-DVWA】DVWA渗透系列六：Insecure CAPTCHA

前言

DVWA安装使用介绍，见：【工具-DVWA】DVWA的安装和使用

本渗透系列包含最新DVWA的14个渗透测试样例：

1.Brute Force(暴力破解)                    
2.Command Injection（命令注入）
3.CSRF(跨站请求伪造)                        
4.File Inclusion（文件包含）
5.File Upload（文件上传）                    
6.Insecure CAPTCHA(不安全的验证码)
7.SQL Injection（SQL注入）                    
8.SQL Injection（Blind）（SQL盲注）
9.Weak Session IDs（有问题的会话ID）                
10.XSS(DOM)（DOM型xss）
11.XSS(ref)（反射型xss）                    
12.XSS(Stored)（存储型xss）
13.CSP Bypass（Content Security Policy内容安全策略，旁路/绕过）    
14.JavaScript​​​​​​​

安全级别分低、中、高、安全四个级别来分析Insecure CAPTCHA的渗透测试过程。

1 基础知识

• Insecure CAPTCHA

不安全的验证码？不是这个意思，而是指验证码验证可以被绕过。怎么绕？一般都是验证码的验证和最终修改的验证分离，导致了中间过程（验证码的验证结果）可以被篡改。

2 Low+Medium+High

2.1 渗透测试

略，因为三种情况下的绕过都是基于，先去验证验证码，然后再根据提交内容来判断之前的验证是否是正确的，这种方式在现实场景中基本不存在（没人这么写代码...）。而且这个基本也属于CSRF范畴，所以不加测试了，直接看源码。

2.2 源码分析

• Low：额，直接验证step到了第二步，就可以修改信息，太容易了...

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {

• Medium：加了对参数passed_captcha的检查，如果为true，则认为已经通过了验证码检查，和step==2，没差别...

if( !$_POST[ 'passed_captcha' ] ) {
	$html     .= "

You have not passed the CAPTCHA.
";
	$hide_form = false;
	return;
}

• High：故意放水，只要g-recaptcha-response和请求头的HTTP_USER_AGENT是符合约定的就行，还是没差...

// Check CAPTCHA from 3rd party
$resp = recaptcha_check_answer(
	$_DVWA[ 'recaptcha_private_key' ],
	$_POST['g-recaptcha-response']
);

if (
	$resp || 
	(
		$_POST[ 'g-recaptcha-response' ] == 'hidd3n_valu3'
		&& $_SERVER[ 'HTTP_USER_AGENT' ] == 'reCAPTCHA'
	)
)

3 Impossible

3.1 源码分析

三点改动：添加了CSRF-token验证；添加了当前用户名输入；把放水过程去了，如果验证码验证失败，直接返回错误。

// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


$pass_curr = $_POST[ 'password_current' ];
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );

// Check CAPTCHA from 3rd party
$resp = recaptcha_check_answer(
	$_DVWA[ 'recaptcha_private_key' ],
	$_POST['g-recaptcha-response']
);

// Did the CAPTCHA fail?
if( !$resp ) {
	// What happens when the CAPTCHA was entered incorrectly
	$html .= "

The CAPTCHA was incorrect. Please try again.
";
	$hide_form = false;
	return;
}

4 总结

基本和CSRF类似，不要相信任何前端输入，分次效验，要格外注意中间状态的准确性和完整性。

 

 

 

---

爱家人，爱生活，爱设计，爱编程，拥抱精彩人生！