DVWA之Brute Force,Command Injection全关解析

最新推荐文章于 2024-11-21 18:00:00 发布
最新推荐文章于 2024-11-21 18:00:00 发布
阅读量150 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ANDTM/article/details/130573734
本文详细分析了从LOW到HIGH三个级别的网络安全防护,包括密码爆破、SQL注入防御和命令注入。LOW级存在明显的SQL注入漏洞,可使用Bruteforce工具进行爆破;MEDIUM级增加了SQL参数过滤,但可以通过其他字符绕过;HIGH级引入了CSRFToken和更多防御措施,但仍有命令注入的潜在风险。针对这些情况,文章讨论了相应的攻击手段和防御策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Brute Force

LOW级

查看源码

下面展示一些 内联代码片

下面展示一些 内联代码片

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

LOW级源码可以看出没有任何防护措施,我们甚至可以用SQL注入进行攻击,但这里先说爆破,爆破需要用到brupsuite,抓包。

抓包

具体如何抓包这里就不做过多解释,前面的文章也有提到,抓到的包如下:在这里插入图片描述
右击发送到Intruder在这里插入图片描述
如图,用§包住的就是我们要爆破的目标,我们先清除所有的§,这次我们要爆破出密码,就只给密码进行标记在这里插入图片描述
在这里插入图片描述
之后选择爆破类型,不同的爆破类型将字典中的数据替换到标记位置的方式也会有所不同,在LOW级难度里我们用Sniper,它的规则是把字典中的字符串一个一个替换到我们前面标记的位置进行爆破。
在这里插入图片描述
之后添加字典
在这里插入图片描述
开始爆破在这里插入图片描述
当密码正确是,反应时间会有所不同,根据反应时间的不同我们可以确定密码为password
在这里插入图片描述

Medium级

查看源码

下面展示一些 内联代码片

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

我们会发现多了一行
下面展示一些 内联代码片

    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

isset() 函数用于检测变量是否已设置并且非 NULL。返回TRUE。若变量不存在则返回 FALSE(错误),若变量存在且其值为NULL(无效),也返回 FALSE,若变量存在且值不为NULL,则返回 TURE(真),同时检查多个变量时,每个单项都符合上一条要求时才返回 TRUE,否则结果为 FALSE
is_object() 函数用于检测变量是否是一个对象
mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。返回已转义的字符串
最后一旦密码错误会延迟两秒,这个会增加我们的爆破时间,但是依然是可以爆破出来的,方法同Low级一样

High级

查看源码

下面展示一些 内联代码片

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

我们可以看到加上了Token值, stripslashes(string)是去除掉string字符的反斜杠\,使用了stripslashes函数和mysqli_real_esacpe_string来抵御SQL注入和XSS的攻击。而对于Token,Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

爆破

爆破模式Attack type选用Pitchfork,Pitchfork对每个标记字段单独设置字典,按照一一对应的关系取最少的组合
在这里插入图片描述
求包与自己的响应包有对应顺序,需要单线程,在Resource pool中添加一个单线程,线程数量修改为1。在这里插入图片描述
在Options选项中,找到Grep Extract栏,添加一个从响应包中的提取规则。点击Add,并从响应报文中找到对应的token信息位置,选中之后会自动生成匹配规则,然后点击OK确定。确定之后会在Grep-Extract列表中出现这一规则。
在这里插入图片描述在这里插入图片描述

之后设置字典,选择类型为递归,就是说前一次爆破产生的token将继续用在下一次,递归查询:从response中提取数据 user_token 的,然后去替换我们爆破的值在这里插入图片描述
Set1的设置和LOW级一样在这里插入图片描述
之后就可以开始爆破

Command Injection

Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。黑客如果能够利用命令执行漏洞,那么黑客就可以像电脑用户控制自己电脑一样,自由地对电脑进行操作,就好像通过CMD进行对计算机进行操作

LOW

查看源码在这里插入图片描述

可以看到这里直接将target 变量放入 shell_exec()执行ping命令,没有进行任何过滤,用户端可以直接拼接特定的命令,来执行并获取想要的信息。
A; B //A不论正确与否都会执行B
A&B //A后台运行,A和B同时执行
A&&B //A执行成功后才会执行B
A|B //A执行的输出结果作为B命令的参数,A不论正确与否,都会执行B
A||B //A执行失败后才会执行B命令

直接输入127.0.0.1&&ipconfig,可以看到把IP信息也显示出来了,之后我们甚至可以127.0.0.1&&ping baidu.com ,想干嘛干嘛
在这里插入图片描述

Medium级

在这里插入图片描述
这里设置了黑名单过滤规则,但是只过滤了两种字符’&&’ 和’;',我们可以用&,||等进行绕过
在这里插入图片描述

High级

在这里插入图片描述
看上去,似乎敏感的字符都被过滤了,但是 | 明显后面有个空格,所以如果不使用空格的话依然可以绕过:
在这里插入图片描述

纳纳乌
关注
DVWABrute Force
曹大喯儿的博客
03-11 573
Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令。 Low 级 爆破利用 burpsuite 即可完成 首先将自己的浏览器代理设置成手动配置代理 选项–高级–网络–连接–设置 登录dvwa网址并设置安全级别为Low 打开Burp Suite,点击拦截禁止 点击暴力破解,随便输入账号密码,点击登陆 回到Burp Suite,点击行动–发送给Intruder 点击测试器(Intruder)–位置,选择集束炸弹,并清除其它的爆破项,选择用户名和密码两个字段进行爆破。
DVWA系列Brute Force
crystal919的博客
03-24 323
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 brute Force "暴力破解"是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一,如2014年轰动全国的12306...
dvwaBrute Force
Alsn86的博客
01-13 394
low等级 <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users` WHERE user = '$user' AND passw
新手指南:DVWA-1.9全级别教程之Brute Force
weixin_50464560的博客
03-19 520
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brut
DVWA靶场-Brute Force暴力破解
mlws1900的博客
03-12 2028
具体来说,它使用了mysqli_real_escape_string()函数对用户输入的用户名进行转义,确保特殊字符在SQL语句中不会被误解为SQL语句的一部分,从而保护数据库安全。进入暴力破解的界面,有点基础的都知道,在bp中通过字典,导入用户名和密码进行爆破,这样的操作大家见多了,再写没啥意思,想看的可以去pikachu靶场的暴力破解去了解具体操作,本文主要结合代码进行分析。3.high-高等安全等级,有安全措施保护,是中等安全等级的加深,这个等级下的安全漏洞可能不允许相同程度的攻击。
DVWA TOP 10 整理集——Brute_ForceCommand Injection,CSRF,File Inclusion,File Uplod(更新中....)
小羊的博客
09-30 1432
一.Brute_Force Brute_Force High 将DVWA调至high级别,发现用之前的暴力破解就不好使了,因为其使用了随机token机制来防止CSRF,从而在一定程度上防止了重放攻击,增加了爆破难度。但是依然可以使用burpsuite来爆破。 1. 将登录请求进行拦截,发现增加了user_token参数,所以爆破要选择三个参数来进行,先将请求发送到intruder(测试器)。 2.攻击模式选择Pitchfork(音叉),清除所有变量,并分别添加username、&amp.
DVWA使用教程(Command Injection)(二)
ai_64的博客
06-15 8729
DVWA使用教程(Command Injection)(二) DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是 1.Brute Force(爆破) 2.Command Injection(命令注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含) 5.File Uplod(文件上传) 6.Insecure CAPTCHA(不安全的验...
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)
ElsonHY的博客
11-29 1078
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)前言0x01 Brute Force(暴力破解)CLASS:LOWCLASS:MEDIUMCLASS:HIGHCLASS:IMPOSSIBLE 前言 最近在复习一些基础的常见web漏洞,经典的靶机大家肯定最先想到的就是DVWA了,我用的是1.10版本,目前里面的题型包括了14个专题板块,题目难度也分为低(low)中(medium)高(high)和不可能(impossible)几个等级。 Brute Force(暴力破解
DVWA使用教程(Brute Force)(一)
热门推荐
ai_64的博客
06-09 2万+
DVWA使用教程(Brute Force)(一) DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是 1.Brute Force(爆破) 2.Command Injection(命令注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含) 5.File Uplod(文件上传) 6.Insecure CAPTCHA(不安全的验证码) 7.SQL...
DVWA暴力破解(Brute Force)——全等级(Low,Medium,High,lmpossible)精讲
Gjqhs的博客
03-07 7768
使用phpstudy搭建渗透测试靶场环境 目录 1.Low级别 2.mediun级别 3.high级别 4.impossible级别 1.Low级别 文件源代码: <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]...
【记录】BurpSuite之Grep-Extract
weixin_30338461的博客
10-16 1162
借助一次sql注入来说明Grep-Extract的作用 要报出当前数据库中所有表名,这里可以有多种方法,我借助limit语句,以此来说明Grep-Extract的用法。 转载于:https://www.cnblogs.com/peterpan0707007/p/7676818.html...
DVWABrute Force暴力破解实战
「应无所住而生其心」
11-21 1928
问尔辈 何等样人 自摸心头 再来求我;若汝能 克存忠孝 持身正直 不拜何妨
dvwabrute force(工具版)(部分转自互联网大佬,仅供自己学习)
crowsec
05-03 652
Brute Force暴力破解一般指穷举法,穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。(转自https://blog.youkuaiyun.com/u011781521/article/details/54964...
DVWABrute Force(暴力破解)
谢公子的博客
10-04 1万+
目录 Low Medium High Impossible 暴力破解是指使用穷举法,举出所有的可能的结果,然后逐一验证是否正确! Low 源代码: &lt;?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password ...
DVWABrute Force
多崎巡礼的博客
07-19 1943
Brute Force Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一,如2014年轰动全国的12306“撞库”事件,实质就是暴力破解攻击。 下面将对四种级别的代码进行分析。   Low 服务器端核心代码 &lt;?php if(isset($_GET['Login'])){ //Getusername ...
【工具-DVWADVWA渗透系列一:Brute Force
qqchaozai的专栏
10-17 6054
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
dvwa brute force(暴力破解)
一个安全研究员
04-26 2869
介绍 暴力破解其实没有什么神秘的,也是大家都有的一个四位方式,比如说我们有时候会忘记我们的手机密码,这个时候我们就会从我们之前使用的密码中一个个去试着解锁,这就是暴力破解的精髓所在了,也就是枚举猜解。所以暴力破解的前提就是你有一个强大的字典,字典就是我们已知的一些用户名和密码,我们会通过这个字典来猜解。 low 方法一: 我们可以直接使用burpsuite的intruder模块进行暴力...
dvwa靶场 Brute Force
最新发布
01-08
### DVWA Brute Force 暴力破解 实验教程 #### Low 和 Medium 级别暴力破解 对于低级别和中级别的暴力破解,由于这些级别的防护措施较为简单,可以利用工具如Burp Suite来进行自动化攻击。具体来说: - **Low Level**: 这一等级几乎没有任何安全机制来阻止暴力破解尝试。用户名和密码通过HTTP GET请求发送,并且没有验证码或登录失败后的延迟处理。因此,使用Burp Intruder模块并加载常用弱口令列表可以直接发起大量猜测尝试[^4]。 ```bash # 使用 Burp Suite 的步骤如下: 1. 启动浏览器代理设置指向本地监听端口8080; 2. 访问DVWA网站并通过拦截功能捕获登录表单提交的数据包; 3. 将数据包转发至Intruder面板配置参数位置(通常为username和password字段); 4. 加载预定义的字典文件作为payload选项; 5. 开始攻击过程观察返回结果寻找有效凭证组合。 ``` - **Medium Level**: 中级增加了简单的防御手段——每当验证不成功时会触发`sleep(2)`函数使响应时间延长两秒钟。尽管如此,这并不会显著影响实际操作中的成功率;只需耐心等待每次迭代完成即可继续测试其他候选值[^2]。 #### High 和 Impossible 级别暴力破解 随着保护强度增加到了高级阶段,则引入了更复杂的逻辑用于检测异常行为模式以及采取相应对策加以遏制潜在威胁活动的发生频率及其效率表现形式上有所区别于之前所描述过的简易型方案设计思路框架结构特点方面存在差异之处在于: - **High Level**: 此处不仅限定了最大重试次数还加入了基于IP地址白名单管理策略从而进一步提升了整体安全性水平线以上述两点为核心要素构建而成的一套综合性的访问控制体系架构模型实例化应用案例研究对象之一即为此版本下的用户认证流程环节部分实现细节说明文档记录内容摘要概述。 - **Impossible Level**: 几乎无法被传统意义上的穷举法攻破。该层面上除了继承自高阶版的安全特性外更是额外集成了诸如图形验证码之类的交互式组件用来增强人工干预成分比例进而达到更好的防伪效果目的所在[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值