DVWA-Brute Force(暴力破解)
阅读原文时间:2023年07月08日阅读:3

暴力破解漏洞,没有对登录框做登录限制,攻击者可以不断的尝试暴力枚举用户名密码

审计源码

<?php
    // 通过GET请求获取Login传参,
    // isset判断一个变量是否已设置,判断方法是变量是否为null
if( isset( $_GET[ 'Login' ] ) ) {
    // 获取用户名
    $user = $_GET[ 'username' ];

    // 获取密码
    $pass = $_GET[ 'password' ];
    // 使用md5方法加密获取的密码
    $pass = md5( $pass );

    // 定义SQL查询语句
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    // mysqli_query()方法对数据库进行一次SQl查询
    // $GLOBALS 引用全局作用域中可用的全部变量,这里调用___mysqli_ston
    // is_object()检测___mysqli_ston是否为一个对象
    // 使用的是 a ? b : c 的格式,这个语法为,如果 a == true 则采用 b ,否则采用 c 后面的我也不是太懂
    // 检查数据库是否存在传入的用户名和密码
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //  mysqli_num_rows()获得SQL查询语句中的行数
    //  判断 $result 返回查询是否为空 和 返回的行数是否为1
    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // mysqli_fetch_assoc()方法获取返回行中列的信息
        $row    = mysqli_fetch_assoc( $result );
        // 获取返回行 avatar 列中的图片路径
        $avatar = $row["avatar"];

        // 登录成功
        // 打印欢迎和图片
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // 登录失败
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    // is_null()检测一个变量是否为null,这句话我也不太懂
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

通过简单的代码分析,可以看到,这里没有对我们传入的usernamepassword进行过滤,也没有什么认证机制

sql注入

虽然这里是暴力破解漏洞,但是在登录框中,对传入的用户名密码不进行过滤,也会存在sql注入漏洞

构造payload,在用户名里输入admin'#,密码为空,发现可以登录成功

分析:

# 默认sql语句为
SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';
# 传入`admin'#`就变为了
SELECT * FROM `users` WHERE user = 'admin'#' AND password = '$pass';

注意: mysql中 # 号为注释

所以'对admin用户进行闭合,使用#对后面的密码进行注释

语句就成为了

SELECT * FROM `users` WHERE user = 'admin'

那么只要查询到admin用户,不需要输入密码就可以登录成功

暴力破解

需要使用工具burpsuite

由于没有做任何的拦截,直接开启代理抓取数据包

在登录框内随便输入用户名和密码进行提交,设置浏览器代理为127.0.0.1,端口为8080

打开burpsuite,点击登录,查看抓取数据包

这里可以看到,已经抓取到了用户名位admin,密码为123456的数据包

点击Action -> Send to Intruder Ctrl+I,将数据包转到重发模式

然后点击Intruder转到爆破模块

首先点击右侧Clear $清楚所有变量,然后选中usernamepassword点击ADD $进行增加变量

选择攻击模式为Cluster bomb模式

这四个模式,我用自己的理解方式,简单的理解了一下

1.狙击手模式:对一个变量进行破解,只能选择一个字典,依次破解各个变量
2.攻城锥模式:所有变量使用一个字典,同时进行破解
3.干草叉模式:一个变量一个字典,在进行破解是,两个变量同时进行破解,各自用各自的字典
4.集束炸弹模式:一个变量对应一个字典,在使用第一个变量的第一个值得时候,第二个值会把所有的字典循环一遍,然后第一个变量循环第二个值,第二个值继续循环所有值。

然后选择字典,手写一个简单的字典,有正确用户名和密码就可以

同样加载密码字典,然后点击Start attack,进行攻击

我是用的是burpsuite community社区版,是免费的的,只能设置一个线程

如果使用的是burpsuite professional 专业版,可以设置很高线程,一瞬间就可以爆破成功

爆破过程中,点击Length返回长度从小到大进行排序,可以看到破解次数在48次的时候,用户名为admin,密码为password返回长度不一样

使用用户名admin,密码password登录测试

登录成功,成功过关

审计源码

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // 获取用户名
    $user = $_GET[ 'username' ];
    // mysqli_real_escape_string() 对 SQL 语句中的特殊字符进行转义
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 获取密码
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // 使用md5函数加密密码
    $pass = md5( $pass );

    // 定义SQL查询语句
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    // 进行SQL注入查询
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // 获取图片路径
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // 登录成功
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // 登录失败 延迟2秒
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

通过观察,使用了mysqli_real_escape_string()对传入的用户名和密码进行实例化,所以像LOW一样的SQL注入是不可以了

但是对于我们的暴力破解没有做任何限制,只进行了一个登录失败返回延迟2秒,对暴力破解没太大影响

和上一关一样的暴力破解方式

审计源码

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // 检查CSRF令牌
    // checkToken()在网上找不到帮助,应该是检察官token值是否正确
    // $_REQUEST 收集HTML表单提交user_token的数据
    // $_SESSION 验证session_token是否正常
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 获取用户名
    // stripslashes() 删除反斜杠
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 获取密码
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // 数据库查询
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // 获取图片
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // 登录成功
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // 登录失败,延迟0~3秒
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

这里添加了判断user_token的地方,还有一个登录失败,返回时间为0~3秒,想用这个延迟暴力破解那么user_token是什么呢

在我们访问目标服务器时,目标服务器会返回一个user_token,当我们对目标服务器进行一些操作时,服务器会验证我们的user_token,如果user_token值不对,则会操作失败

那么这个user_token在哪里?通过$_REQUEST可以知道,通过HTML表单获取user_token

所以在进行爆破时,每一次爆破都需要获取一次user_token

burpsuite可以实现这个功能

首先抓包,转到爆破模块

选择字典,首先password字典这里不在演示,然后是user_token字典,需要在Option -> Grep-Extract中获取

并将该页面的token值复制

设置user_token字典,开始爆破

提示报错,是能进行单线程爆破,所以,设置单线程Resource Pool ->

设置后开始攻击

password密码返回长度不一样,爆破成功

审计源码

<?php

if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
    // 检查user_token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // 去除用户名中的反斜杠
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // 去除密码中的反斜杠
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // 使用md5加密密码
    $pass = md5( $pass );

    // 默认值,字面意思
    $total_failed_login = 3;        //登录失败锁定次数
    $lockout_time       = 15;       //锁定时间
    $account_locked     = false;    //账户状态,默认不锁定

    // 引入了PDO技术,进行SQL查询
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // 检查账户是否被锁定
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // 计算用户再次登录的时间
        // strtotime()将任何字符串的日期当做时间戳;获取数据库中last_login,用户最后一次登录的时间
        $last_login = strtotime( $row[ 'last_login' ] );
        // 获取的时间加上 15分钟,得到锁定时间
        $timeout    = $last_login + ($lockout_time * 60);
        // 获取当期时间
        $timenow    = time();

        /*
        print "The last login was: " . date ("h:i:s", $last_login) . "<br />";
        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";
        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";
        */

        // 如果当前时间小于锁定时间,则继续锁定账户
        if( $timenow < $timeout ) {
            $account_locked = true;
            // print "The account is locked<br />";
        }
    }

    // 进行账户名和密码的查询
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // 如果登录成功
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // 获取账户avatar,failed_login,last_login信息
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // 登录成功
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // 登录失败的次数和时间
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }

        // 重置登录错误次数
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // 登陆失败返回随机2~4秒延迟
        sleep( rand( 2, 4 ) );

        // 给用户一些反馈
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";

        // 更新登录错误的计数器
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // 设置上次登录的时间
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}

// 生成反CSRF令牌
generateSessionToken();

?>

Impossible!

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章