DVWA靶场通关实战

DVWA

Brute Force（暴力破解）
- Low
- Medium
- High
- Impossible
Command Injection（命令行注入）
- Low
- Medium
- High
- Impossible
CSRF（跨站请求伪造）
- Low
- Medium
- High
- Impossible
File Inclusion（文件包含）
- Low
- Medium
- High
- Impossible
File Upload（文件上传）
- Low
- Medium
- High
- Impossible
Insecure CAPTCHA （不安全的验证码）
- Low
- Medium
- High
- Impossible
SQL Injection（SQL注入）
- Low
- Medium
- High
- Impossible
SQL Injection（Blind）（SQL盲注）
- Low
- Medium
- High
- Impossible
Weak Session IDs （弱会话ID）
- Low
- Medium
- High
- Impossible
XSS (DOM) （DOM型跨站脚本）
- Low
- Medium
- High
- Impossible
XSS（Reflected）（反射型跨站脚本）
- Low
- Medium
- High
- Impossible
XSS（Stored）（存储型跨站脚本）
- Low
- Medium
- High
- Impossible
CSP Bypass （CSP绕过）
- Low
- Medium
- High
- Impossible
JavaScript
- Low
- Medium
- High
- Impossible
完结撒花

截至2022.11.24，DVWA共有十四个模块，分别是：

Brute Force（暴力破解）
Command Injection（命令行注入）
CSRF（跨站请求伪造）
File Inclusion（文件包含）
File Upload（文件上传）
Insecure CAPTCHA （不安全的验证码）
SQL Injection（SQL注入）
SQL Injection（Blind）（SQL盲注）
Weak Session IDs （弱会话ID）
XSS (DOM) （DOM型跨站脚本）
XSS（Reflected）（反射型跨站脚本）
XSS（Stored）（存储型跨站脚本）
CSP Bypass （CSP绕过）
JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14

按我的思路就是，Low、Media、High是拿来攻击的，Impossible是来教你防御的
然后就是缩减了一下目录，本来攻击方式、源码审计、漏洞原理都加了标题，但是那样目录就太长太丑了，想想还是删了算了
直接开冲！

Brute Force（暴力破解）

暴力破解，又叫撞库、穷举，使用大量的字典逐个在认证接口尝试登录，理论上，只要字典足够强大，破解总是会成功的。
阻止暴力破解的最有效方式是设置复杂度高的密码（英文字母大小写、数字、符号混合）。

而如果你的字典是从某网站泄露出来的，你使用它试图登陆其他网站，就便是撞库。撞库攻击的成功率高于暴力破解，因为你在A网站的用户名、密码通常和B网站的用户名、密码一致。

Low

DVWA Security界面将难度设置为Low
在这里插入图片描述
先看登录界面，填写账号密码后抓包

bp抓包后转到intruder模块，给username和password加上tag§
type选择Cluster bomb

对应位置插入字典后，点击右边的attack开始攻击

也可以更改Options的Number of threads修改进程数，增加爆破效率
在这里插入图片描述

根据响应包的大小以及响应体的内容判断是否成功，可以看到成功爆出一个用户admin/password，也是平台登录的默认账号
在这里插入图片描述
马上停止爆破，点到为止，一千四百万条顶不住啊。

源码审计


if( isset( $_GET[ 'Login' ] ) ) {
   
	// Get username
	$user = $_GET[ 'username' ];
	// Get password
	$pass = $_GET[ 'password' ];
	$pass = md5( $pass );
	// Check the database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
   
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {
     $user}
";
		$html .= "{
     $avatar}\" />";
	}
	else {
   
		// Login failed
		$html .= "
Username and/or password incorrect.
";
	}
	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

username未过滤password只有一个md5加密，但是对实际的爆破过程毫无影响
首先很直观的就是一个万能密码（
由于限制了结果只能有一条，要加上limit 1
admin' or 1=1 limit 1#
在这里插入图片描述

Medium

爆破过程同上，但是可以明显感觉到，爆破的速度慢了很多
为了方便演示，直接把admin/password放在前几条了，反正多跑无益，还浪费时间
在这里插入图片描述
源码审计



if( isset( $_GET[ 'Login' ] ) ) {
   
	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check the database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
   
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {
     $user}
";
		$html .= "{
     $avatar}\" />";
	}
	else {
   
		// Login failed
		sleep( 2 );
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

用了mysqli_real_escape_string()函数转义输入的用户名密码，但是没有设置编码，在gbk编码的数据库上可以进行sql注入
登录失败后sleep(2)延迟两秒

High

抓包发现url栏多了一项user_token
bp抓包后发现，只有在token正确的情况下才能尝试登录，其他情况均为302重定向
在这里插入图片描述
bp也是有带token爆破的功能的，首先转到intruder模块，选择Pitchfork模式

payload1是密码位，正常插入密码字典
payload2是token位，选择Recursive grep

然后去option里设置Grep-Extract
在这里插入图片描述

设置Start和End，将数据留在中间，也可以直接用鼠标在下方拖动选取文字
PS：设置grep时建议刷新一次浏览器，填入最新的token，避免访问失效，下面框里没东西
在这里插入图片描述设置完成后回到payload界面选中

因为token不能复用，将option的线程设置为一，重定向选择always

开始爆破后即可根据响应包大小判断是否成功

源码审计



if( isset( $_GET[ 'Login' ] ) ) {
   
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
   
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {
     $user}
";
		$html .= "{
     $avatar}\" />";
	}
	else {
   
		// Login failed
		sleep( rand( 0, 3 ) );
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

开始后先校验tokencheckToken()，若token不匹配则重定向到登陆界面，不再进行判断
结束前生成新的tokengenerateSessionToken()
账号密码多用了一个stripslashes()函数删除反斜杠

Impossible

失败三次，锁定15分钟，没辙了，摆烂了
在这里插入图片描述
源码审计



if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
   
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_POST[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_POST[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Default values
	$total_failed_login = 3;
	$lockout_time       = 15;
	$account_locked     = false;

	// Check the database (Check user information)
	$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// Check to see if the user has been locked out.
	if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
   
		// User locked out.  Note, using this method would allow for user enumeration!
		//$html .= "
This account has been locked due to too many incorrect logins.
";

		// Calculate when the user would be allowed to login again
		$last_login = strtotime( $row[ 'last_login' ] );
		$timeout    = $last_login + ($lockout_time * 60);
		$timenow    = time();

		/*
		print "The last login was: " . date ("h:i:s", $last_login) . "
";
		print "The timenow is: " . date ("h:i:s", $timenow) . "
";
		print "The timeout is: " . date ("h:i:s", $timeout) . "
";
		*/

		// Check to see if enough time has passed, if it hasn't locked the account
		if( $timenow < $timeout ) {
   
			$account_locked = true;
			// print "The account is locked
";
		}
	}

	// Check the database (if username matches the password)
	$data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR);
	$data->bindParam( ':password', $pass, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// If its a valid login...
	if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
   
		// Get users details
		$avatar       = $row[ 'avatar' ];
		$failed_login = $row[ 'failed_login' ];
		$last_login   = $row[ 'last_login' ];

		// Login successful
		$html .= "Welcome to the password protected area {
     $user}
";
		$html .= "{
     $avatar}\" />";

		// Had the account been locked out since last login?
		if( $failed_login >= $total_failed_login ) {
   
			$html .= "Warning: Someone might of been brute forcing your account.
";
			$html .= "Number of login attempts: {
     $failed_login}.
Last login attempt was at: ${last_login}.
";
		}

		// Reset bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	} else {
   
		// Login failed
		sleep( rand( 2, 4 ) );

		// Give the user some feedback
		$html .= "
Username and/or password incorrect.

Alternative, the account has been locked because of too many failed logins.
If this is the case, please try again in {
     $lockout_time} minutes.
";

		// Update bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}

	// Set the last login time
	$data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112

代码行数直接比High多了一倍多，虽然注释挺多的
提交方式由GET改为POST
失败次数是写入数据库的，sql语句也改为参数化查询
不好说了，立体机动防御了
在这里插入图片描述

Command Injection（命令行注入）

命令注入，是指在某些需要输入数据的位置，构造恶意代码破环原有的语句结构，而系统缺少有效的过滤，许多内容管理cms存在命令注入漏洞。

Low

简洁的界面
在这里插入图片描述
象征性的ping一下，编码问题就不管了，影响不大
先来一个经典的ping
命令执行常用的方式为||和&&管道符
更多的可以看看这个命令执行
还有一些过滤技巧CTF—命令执行总结
||当前项执行失败后执行后项
在这里插入图片描述 &&前项成功后执行后项
源码审计



if( isset( $_POST[ 'Submit' ]  ) ) {
   
	// Get input
	$target = $_REQUEST[ 'ip' ];

	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
   
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
   
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}

	// Feedback for the end user
	$html .= "{
     $cmd}
";
}

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

没有过滤，简单判断一下操作系统就拼接执行了

Medium

再次尝试时发现&&被过滤了
在这里插入图片描述 ||可以正常执行

源码审计



if( isset( $_POST[ 'Submit' ]  ) ) {
   
	// Get input
	$target = $_REQUEST[ 'ip' ];

	// Set blacklist
	$substitutions = array(
		'&&' => '',
		';'  => '',
	);

	// Remove any of the charactars in the array (blacklist).
	$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
   
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
   
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}

	// Feedback for the end user
	$html .= "{
     $cmd}
";
}

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

还多过滤了一个分号，其他没啥了

High

过滤了&和||，但是剩了个|还在
在这里插入图片描述 源码审计



if( isset( $_POST[ 'Submit' ]  ) ) {
   
	// Get input
	$target = trim($_REQUEST[ 'ip' ]);

	// Set blacklist
	$substitutions = array(
		'&'  => '',
		';'  => '',
		'| ' => '',
		'-'  => '',
		'$'  => '',
		'('  => '',
		')'  => '',
		'`'  => '',
		'||' => '',
	);

	// Remove any of the characters in the array (blacklist).
	$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

	// Determine OS and execute the ping command.
	if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
   
		// Windows
		$cmd = shell_exec( 'ping  ' . $target );
	}
	else {
   
		// *nix
		$cmd = shell_exec( 'ping  -c 4 ' . $target );
	}

	// Feedback for the end user
	$html .= "{
     $cmd}
";
}

?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

还真就剩了个|，不知道为什么过滤'| ' => '','||' => '',
l后面是空格说明仅仅过滤了l+空格没过滤单独的l，他好温柔，我哭死

Impossible

在这里插入图片描述

打都不打，直接看源码
源码审计



if( isset( $_POST[ 'Submit' ]  ) ) {
   
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$target = $_REQUEST[ 'ip' ];
	$target = stripslashes( $target );

	// Split the IP into 4 octects
	$octet = explode( ".", $target );

	// Check IF each octet is an integer
	if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof<
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

相关阅读:
通过循环查找完数
 SLAM从入门到精通（从仿真到实践）
ContentProvider启动流程分析
 浏览器和nodejs事件循环（Event Loop）区别
 Redis 第二章：通用命令
 #笔记# 写给自己用的小爬虫
 Java高级工程师常见面试题(答案)
React源码分析(三)：useState，useReducer
代码随想录算法训练营第23期day26|39. 组合总和、40.组合总和II、131.分割回文串
 ubuntu18.04下confluence7.4+mysql5.7.39安装教程
原文地址：https://blog.csdn.net/qaq517384/article/details/128002689