2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)

Brute Force,意译就是暴力破解。

dvwa中的界面如下
2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第1张图片
有过前面sql注入的经验,显然这里是可以尝试用sql代码注入绕过密码的。
不过这里要学的是暴力破解。

暴力破解可以利用Burp suite工具。

low
先用最简单的试验
打开Burp后拦截,界面如下,这个前面介绍过了。
2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第2张图片
然后在action中选择“Send to Intruder”,Burp会把拦截到的信息发送到Intruder模块。

【攻击目标】
2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第3张图片
Host和Port信息是根据http数据包自动填入的。

【破解位置Postions】

2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第4张图片
这里是定义破解位置的。
选中位置,然后点击"Add$",可以新建一个标记。
假设我知道用户名是"Admin",那么就只需要破解密码就行了。
界面中新建的就是密码位置的标记。而在这个位置,Burp会不停尝试填入预设的字符串字典,直到预设的字符串全部遍历完毕。

破解位置可以设置多个,同时尝试破解。

“Clear $”,表示清楚标记。
“Auto $”,Burp会自动帮你设置好所有标记

【有效载荷Payload】
2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第5张图片
注入方式payload。即暴力破解获取字典方式。
我这里就用最简单的Simple list。
字典可以自己导入,或者拷贝。我就手工输入了3条。

2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第6张图片
Payload Processing,这里可以定义规则对payload进行调整,比如:加前缀,后缀,编码等。
Payload Encoding,配置哪些有效载荷中的字符应该是URL编码的HTTP请求中的安全传输。

点击"start attact",开始破解
2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)_第7张图片
注意:密码成功和失败后返回的数据的长度不一样。
可以看到,字典中有一个字符串的返回字节长度不一样,也就是红圈部分。它对应的password也就是真正的密码。

Meduim
看源码

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); if( $result && mysqli_num_rows( $result ) == 1 ) { // Get users details $row = mysqli_fetch_assoc( $result ); $avatar = $row["avatar"]; // Login successful echo "

Welcome to the password protected area {$user}

"; echo ""; } else { // Login failed sleep( 2 ); echo "

Username and/or password incorrect.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

增加了mysqli_real_escape_string函数,转义id参数内的特殊字符,可以防止部分sql注入,不过还有有办法注入的,例如:

id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #

mysqli_real_escape_string函数对于暴力破解,猜密码的方式是没有用的。
完全可以采用和low一样的方法破解。

high
查看源码

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); if( $result && mysqli_num_rows( $result ) == 1 ) { // Get users details $row = mysqli_fetch_assoc( $result ); $avatar = $row["avatar"]; // Login successful echo "

Welcome to the password protected area {$user}

"; echo ""; } else { // Login failed sleep( rand( 0, 3 ) ); echo "

Username and/or password incorrect.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } // Generate Anti-CSRF token generateSessionToken(); ?>

这里增加了一个函数 stripslashes,除去反斜杠。
同时增加了Check Anti-CSRF token,这个在《sql注入的impossible》中出现过,生成方法不再重复。整个页面安全机制中加入了Token,它可以防止重复提交,暴力破解显然就是要反复提交的。

vulnerabilities/brute/?username=admin&password=password&Login=Login&user_token=5f945bf050b44f508c9aee79d64576#

观察登录提交的http信息包,一共有4个参数,最后就是Token。

关于带Token的暴力破解,网上有人利用Burp实现成功(https://blog.csdn.net/he_and/article/details/80063315 )。不过也是很小成功概率,没有什么实际意义。
多数都是推荐用python的。

impossible
查看源码

prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "

This account has been locked due to too many incorrect logins.
"; // Calculate when the user would be allowed to login again $last_login = strtotime( $row[ 'last_login' ] ); $timeout = $last_login + ($lockout_time * 60); $timenow = time(); /* print "The last login was: " . date ("h:i:s", $last_login) . "
"; print "The timenow is: " . date ("h:i:s", $timenow) . "
"; print "The timeout is: " . date ("h:i:s", $timeout) . "
"; */ // Check to see if enough time has passed, if it hasn't locked the account if( $timenow < $timeout ) { $account_locked = true; // print "The account is locked
"; } } // Check the database (if username matches the password) $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR); $data->bindParam( ':password', $pass, PDO::PARAM_STR ); $data->execute(); $row = $data->fetch(); // If its a valid login... if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) { // Get users details $avatar = $row[ 'avatar' ]; $failed_login = $row[ 'failed_login' ]; $last_login = $row[ 'last_login' ]; // Login successful echo "

Welcome to the password protected area {$user}

"; echo ""; // Had the account been locked out since last login? if( $failed_login >= $total_failed_login ) { echo "

Warning: Someone might of been brute forcing your account.

"; echo "

Number of login attempts: {$failed_login}.
Last login attempt was at: ${last_login}.

"; } // Reset bad login count $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); } else { // Login failed sleep( rand( 2, 4 ) ); // Give the user some feedback echo "

Username and/or password incorrect.

Alternative, the account has been locked because of too many failed logins.
If this is the case, please try again in {$lockout_time} minutes.
"; // Update bad login count $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); } // Set the last login time $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); } // Generate Anti-CSRF token generateSessionToken(); ?>

这里采用了sql预编译语句,sql注入也就不行了。
此外还会锁账户,知道该怎么防暴力破解了吧。

UPDATE users SET failed_login = (failed_login + 1)
UPDATE users SET last_login = now()
$lockout_time       = 15;
$timeout    = $last_login + ($lockout_time * 60);

你可能感兴趣的:(IT,burp,安全)