DVWA-Insecure CAPTCHA靶场

最新推荐文章于 2025-01-04 10:51:52 发布

Mr H

最新推荐文章于 2025-01-04 10:51:52 发布

阅读量535

点赞数 2

CC 4.0 BY-SA版权

分类专栏： DVWA靶场验证码绕过逻辑漏洞文章标签：安全

本文链接：https://blog.youkuaiyun.com/Mr_helloword/article/details/107775170

逻辑漏洞

准备环境：

多数DVWA不安全验证这个模块报错，需要修改配置，需要添加如下配置：
配置文件位置：
在这里插入图片描述

$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

在这里插入图片描述
注意：
服务器将改密操作分成了两步，第一步检查用户输入的验证码，验证通过后，服务器返回表单，第二步客户端提交post请求，服务器完成更改密码的操作。但是由于部署环境的原因，这里无法正常显示验证码，但是没有关系，通常我们可以绕过这个验证码。下面我们只对第二部进行分析。

低级

代码：

 <?php

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
   
      //通过判断change，step判断验证码是否正确（不正确执行）
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key'],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
   
   
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
   
   
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
   
   
            // Show next stage for the user
            echo "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{
     
     $pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{
     
     $pass_conf}\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
   
   
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
   
     //验证那正确执行，进行密码修改
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input                                           
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if both password match     //两次密码是否匹配           
    if( $pass_new == $pass_conf ) {
   
   
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database             更新数据库
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die