DVWA--Brute Force

本次搭建OWASP靶机中自带的DWVA靶机对暴力破解进行测试

---

Simple级别

源代码查看

' . mysql_error() . '

' ); if( $result && mysql_num_rows( $result ) == 1 ) { // Get users details $i=0; // Bug fix. $avatar = mysql_result( $result, $i, "avatar" ); // Login Successful echo "

Welcome to the password protected area " . $user . "

"; echo ''; } else { //Login failed echo "

Username and/or password incorrect.

"; } mysql_close(); } ?>

根据源代码查看出现关键代码

$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';";

说明除了此题可以进行暴力破解，而且能够进行SQL注入测试

---

SQL注入方法破解

很明显SQL查询语句是可以对账户，密码进行拼接，所以可以尝试通过万能密码和注释符进行测试

user = ' or '1'='1‘’ #

为了便于查看SQL语句，对源代码进行编辑，能够打印出拼接后的结果

测试结果

根据测试结果和源代码审计发现，虽然成功进行了注入，逃过密码验证，但是由于if判断时，返回结果只能返回一个，所以导致报错。
所以根据代码进行改正测试的注入代码

'or '1' ='1' limit 0,1#

成功注入

当然除了可以进行使用万能密码外，可以在知道用户名时尝试其他的注入方法，例如

admin' #
admin' -- 

---

口令暴力破解

首先捕获请求数据包，对要进行的变量进行标记

请求数据包

对指定变量进行字典替换并请求

成功爆破出密码

---

Medium级别

源代码查看

' . mysql_error() . '

' ); if( $result && mysql_num_rows($result) == 1 ) { // Get users details $i=0; // Bug fix. $avatar = mysql_result( $result, $i, "avatar" ); // Login Successful echo "

Welcome to the password protected area " . $user . "

"; echo ''; } else { //Login failed echo "

Username and/or password incorrect.

"; } mysql_close(); } ?>

根据源代码查看出现关键代码

$user = mysql_real_escape_string( $user );
此函数对输入的字符进行转义

单引号过滤

查询MySQL版本

因此对该函数在MySQL5.5.37以下版本有绕过方法
对于\’进行绕过时，可以考虑宽字节注入，常用的%df进行测试

宽字节注入失败

因为宽字节注入是在GBK编码下进行利用，所以可以查看数据库编码

show variables like 'char%'

MySQL编码查看

但是该等级并未对暴力破解增加任何防护，所以同Low等级，直接暴力破解即可。

---

High级别

源代码查看

' . mysql_error() . '

' ); if( $result && mysql_num_rows( $result ) == 1 ) { // Get users details $i=0; // Bug fix. $avatar = mysql_result( $result, $i, "avatar" ); // Login Successful echo "

Welcome to the password protected area " . $user . "

"; echo ''; } else { // Login failed sleep(3); echo "

Username and/or password incorrect.

"; } mysql_close(); } ?>

根据源代码查看出现关键代码

$user = stripslashes( $user );
此函数对输入的字符进行转义

在暴力破解方面，增加了关键代码

sleep(3);
每爆破错误一次 ，就停止3s验证，导致整个爆破时间拉长，从而增加工具者的时间成本，但不是最安全的

---

个人认为最安全的方法是SQL注入部分进行实体化参数代入，暴力破解防御应适当加入验证码，以及当日最大错误次数等机制进行防御。