DVWA（二）： Brute Force（全等級暴力破解）

tags：

DVWA Brute Force

Burp Suite

Firefox

windows2003

暴力破解基本利用密碼字典使用窮舉法對於所有的賬號密碼組合全排列猜解出正確的組合。

LEVEL： Low

1.配置firefox代理服務器：

　　我這里用的是本機ip，也可以用127.0.0.1代理。（這里不使用代理那部分我寫上了本機IP，設置127.0.0.1的時候那里也會自動出現localhost和127.0.0.1，如果這個框里是空的就登陸不上DVWA，如果不是空的用burp suite抓包的時候抓不到網頁上的包。很奇怪）

　　

 

 

 2.登錄DVWA 設置level等級為low，點擊submit。

　　

 

 

 

3.設置burpsuite，進入options選項卡，選中那一欄IP點擊edit，調整需要攔截的代理服務器IP和端口。點擊OK

 

 

 

4.進入intercept選項卡點擊intercept is on打開攔截

 

 

 

 5.返回DVWA界面的Brute Force模塊，隨便輸入一個賬號和密碼然后返回burp suite界面查看是否已經攔截到代理服務器的數據包。（如果沒抓到包嘗試把不使用代理的IP去掉）

 

 

 

 

 

6.成功抓到包后，右鍵空白部分Send to Intruder發送到intruder暴力破解模塊（或者ctrl+i)

 

 

 7.進入Intruder選項卡下的Positions模塊先clear掉所有變量，再把username和password后的變量add進去。（注意選中的順序，比如我先選的username后的值，第二個選的password后的值，軟件會自己標記你選擇的變量的順序）

關於attack type中有4個選項，（Sniper為對變量依次進行破解、Battering Ram為對變量同時進行破解、Pitch fork為每個變量將會對應一個字典，Cluster bomb為每個變量將會對應一個字典，並且交集破解，嘗試每一個組合）。我選擇的是第四項 ，圖里沒有截到

 8.進入Payloads選項卡，如下圖payload set①代表第1個變量也就是我們上面選擇的username變量，點擊load...加載用戶名文件，之后在payload set模塊選擇2變量，同理load...加載密碼字典

 

 

 

 

 

9.點擊start attack進行爆破

 

 找到length中最長的值，可以看到因為代碼中返回了welcome to the password protected area admin這句話，而別的組合只是返回了 username and/or password incorrect 所以造成了響應時間length不一樣。

 

 

 

 

9.返回DVWA驗證

下面附上low等級的Brute Force的php代碼：

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

其中 isset函數是檢測變量是否設置。這里存在明顯的sql注入漏洞，可以使用SQL注入繞過的方法進行破解。（這里先空着，不定期更新）

    返回值：

若變量不存在則返回 FALSE 

若變量存在且其值為NULL，也返回 FALSE 

若變量存在且值不為NULL，則返回 TURE

這里注意下面這一句，只要讓查詢的結果為true然后注釋掉后面 AND password就可以完成SQL注入繞過了

 

 

 所以用戶名可以用 admin'# 或者 admin'or'1'='1 密碼隨意也可登錄

參考文章：DVWA low SQL注入繞過

 

---

 

 

（二）LEVEL Medium Brute Force

附上Medium的php代碼

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

''相比Low級別的代碼，Medium級別的代碼主要增加了mysql_real_escape_string函數，這個函數會對字符串中的特殊符號（x00，n，r，，’，”，x1a）進行轉義，基本上能夠抵御sql注入攻擊，說基本上是因為查到說 MySQL5.5.37以下版本如果設置編碼為GBK，能夠構造編碼繞過mysql_real_escape_string 對單引號的轉義（因實驗環境的MySQL版本較新，所以並未做相應驗證）；同時，$pass做了MD5校驗，杜絕了通過參數password進行sql注入的可能性。但是，依然沒有加入有效的防爆破機制（sleep(2)實在算不上）。''

但是依然可以用暴力破解的方式，步驟與上面完全一樣，所以不再贅述。

 

 

---

 

(三)LEVEL High Brute Force

 

Brute Force Source
vulnerabilities/brute/source/impossible.php
<?php

if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Default values
    $total_failed_login = 3;
    $lockout_time       = 15;
    $account_locked     = false;

    // Check the database (Check user information)
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";

        // Calculate when the user would be allowed to login again
        $last_login = strtotime( $row[ 'last_login' ] );
        $timeout    = $last_login + ($lockout_time * 60);
        $timenow    = time();

        /*
        print "The last login was: " . date ("h:i:s", $last_login) . "<br />";
        print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";
        print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";
        */

        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow < $timeout ) {
            $account_locked = true;
            // print "The account is locked<br />";
        }
    }

    // Check the database (if username matches the password)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // If its a valid login...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // Get users details
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // Login successful
        echo "<p>歡迎使用密碼保護區 <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";

        // Had the account been locked out since last login?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>警告</em>: 有人可能暴力破解你的帳戶.</p>";
            echo "<p>登錄嘗試次數: <em>{$failed_login}</em>.<br />上次登錄嘗試時間: <em>${last_login}</em>.</p>";
        }

        // Reset bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    } else {
        // Login failed
        sleep( rand( 2, 4 ) );

        // Give the user some feedback
        echo "<pre><br />用戶名或密碼不正確.<br /><br/>或者，由於登錄失敗太多，帳戶已被鎖定.<br />如果是這樣的話, <em>請在 {$lockout_time} 分鍾后嘗試</em>.</pre>";

        // Update bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // Set the last login time
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}
// Generate Anti-CSRF token
generateSessionToken();

?>

 

代碼解析：下面給個傳送門，大家可以一起學習！

傳送門5：High等級源碼解析

（關於High等級的代碼解釋不定期更新）

 

通過抓包可以看到登錄時需要4個參數：username password login user_token

將DVWA調至high級別，發現用之前的暴力破解就不好使了，因為其使用了隨機token機制來防止CSRF，從而在一定程度上防止了重放攻擊，增加了爆破難度。但是依然可以使用burpsuite來爆破。

這里我們還是先使用burp suite：

設置 password user_token為參數，使用Pitchfork模式。

 

 設置參數，在option選項卡中將攻擊線程thread設置為1，因為Recursive_Grep模式不支持多線程攻擊，然后選擇Grep-Extract，意思是用於提取響應消息中的有用信息，點擊Add，如下圖進行設置，最后將Redirections設置為Always

 

 

 

 

 設置payloads，第一個參數（password）不再贅述，主要講一下第二個，

 

 

 

start attack

 

參考文章1：DVWA暴力破解

 參考文章2：DVWA全等級暴力破解

參考文章3：burp suite 使用詳解