重读dvwa的笔记

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了重读dvwa的笔记相关的知识,希望对你有一定的参考价值。

0x00

花了些时间把dvwa重新看了一遍

虽然以前已经玩过这个 ,但是这次从源码出发的重读还是有新收获

决定写一个学习笔记

 

0x01

首先是环境搭建

类似的环境搭建文章网上有太多了

而且这篇文章也写的非常好(我就是参照这个搭建的)

http://www.freebuf.com/sectool/102661.html

顺便一提测试的时候记得要在php.ini中开启几个函数

 

0x02

首先是Brute Force  暴力破解

low

在low下源码的部分

    $user = $_GET[ ‘username‘ ];

    // Get password
    $pass = $_GET[ ‘password‘ ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = ‘$user‘ AND password = ‘$pass‘;";

很容易想到万能密码的绕过。。。同样直接爆破密码也是可以的

爆破密码可以写脚本也可以直接用burpsuite的intruder模块爆破 找个字典就行

medium

在medium下源码的部分

    $user = $_GET[ ‘username‘ ];
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ ‘password‘ ];
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = ‘$user‘ AND password = ‘$pass‘;";

 

和low比加了一点东西 一个三元运算符

$GLOBALS["___mysqli_ston"]这只是一个自定义全局变量可以不用在意

(ps:MySQLConverter假定此全局变量设置为等于您的数据库连接对象; 如果转换器找到一个mysql_connect

它将(部分地,但是带有一个警告)将您的代码转换为包含$ GLOBALS [“___ mysqli_ston”]的赋值给mysqli_connect函数的结果的代码)

 

三元运算结果是用mysqli_real_escape_string()函数处理参数或者返回错误(和mysqli_escape_string()这个函数是完全一样的)

这个函数的作用是对一些特殊字符进行转义

 

  • x00
  • \n
  • \r
  • \
  • "
  • \x1a

 

可见medium下不能使用万能密码的绕过了

但是如果是gbk编码的话 还是可以用宽字节绕过

抓包可以发现并未做token的验证

所以依然可以使用burpsuite爆破

high

在high下源码的部分

    checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ );

    // Sanitise username input
    $user = $_GET[ ‘username‘ ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ ‘password‘ ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = ‘$user‘ AND password = ‘$pass‘;";

代码中可以看到增加了token参数 而且username和password参数同样进行的过滤防护

每次刷新页面都会获得一个随机的参数  这样就很难用burpsuite进行爆破了

那么如何获得token参数呢。。。high难度应该是有办法做出来的

看了下dvwa的源码  index.php有这样一段

if( $vulnerabilityFile == ‘high.php‘ || $vulnerabilityFile == ‘impossible.php‘ )
    $page[ ‘body‘ ] .= "            " . tokenField();

$page[ ‘body‘ ] .= "
        </form>

在high和impossible下会把token写到源码里 这样我们就可以获取了,如下

<form action="#" method="POST">
    Username:<br />
    <input type="text" name="username"><br />
    Password:<br />
    <input type="password" AUTOCOMPLETE="off" name="password"><br />
    <br />
    <input type="submit" value="Login" name="Login">
    <input type=‘hidden‘ name=‘user_token‘ value=‘f7733a69e0bd2f43c9ab3f1c48d49b84‘ />
</form>

然后开始写python脚本吧

 

 

 

 

0x03

0x04

0x05

0x06

0x07

0x08

0x09

0x10

 

以上是关于重读dvwa的笔记的主要内容,如果未能解决你的问题,请参考以下文章

DVWA学习笔记

《微服务》九大特性重读笔记

犀牛书重读笔记

DVWA渗透笔记 SQL注入-LOW级

DVWA学习笔记--06--SQL Injection

DVWA笔记系列-CSRF