《11招玩轉網絡安全》之第三招：Web暴力破解-Low級別

Docker中啓動LocalDVWA容器，準備DVWA環境。在瀏覽器地址欄輸入http://127.0.0.1，中打開DVWA靶機。自動跳轉到了http://127.0.0.1/login.php登陸頁面。輸入默認的用戶名密碼admin:password登陸。單擊頁面左側的DVWA Security，進行安全級別設置，如圖3-18所示。

圖3-18  DVWA安全級別

DVWA的安全級別有4種，分別爲Low、Medium、High和Impossible。先選擇最低的安全級別，單擊Submit按鈕確認選擇。

單擊頁面左側的BruteForce按鈕，進入暴力破解測試頁面，單擊View Source按鈕，如圖3-19所示。

圖3-19  Low Brute Force源代碼

獲取的代碼以下：

<?php

 if( isset( $_GET[ 'Login' ] ) ) {

    // Getusername

    $user =$_GET[ 'username' ];

 

    // Getpassword

    $pass =$_GET[ 'password' ];

    $pass =md5( $pass );

 

    // Checkthe database

   $query  = "SELECT * FROM`users` WHERE user = '$user' AND password = '$pass';";

    $result= mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' .((is_object($GLOBALS["___mysqli_ston"])) ?mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res =mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

 

    if($result && mysqli_num_rows( $result ) == 1 ) {

        //Get users details

       $row    = mysqli_fetch_assoc($result );

       $avatar = $row["avatar"];

 

        //Login successful

        echo"<p>Welcome to the password protected area {$user}</p>";

        echo"<img src=\"{$avatar}\" />";

    }

    else {

        //Login failed

        echo"<pre><br />Username and/or passwordincorrect.</pre>";

    }

 

   ((is_null($___mysqli_res =mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}
?>

　　

從代碼中能夠看出，服務器沒有對輸入的用戶名和密碼作任何的檢查，直接就進行了SQL查詢。這種狀況用SQL注入也很是的方便，但這裏測試的是暴力破解。

瀏覽器啓用SwitchyOmega的Burp Suite模式，啓動Burp Suite監聽本地的8080端口。在頁面中任意輸入一個用戶名和密碼，如圖3-20所示。

圖3-20  DVWA發送數據到Burp Suite

關閉瀏覽器其餘的標籤頁，避免干擾。啓動Burp Suite，打開Proxy標籤頁的Intercept項，將項目按鈕調整成Intercept is on，如圖3-21所示。

圖3-21  Burp Suite攔截

回到DVWA頁面中，單擊Login按鈕。瀏覽器向服務器127.0.0.1發送數據，經過127.0.0.1:8080端口，被Burp Suite攔截。Burp Suite顯示攔截下來的數據，如圖3-22所示。

圖3-22  攔截的數據

在Raw的文本框中單擊鼠標郵件，在彈出的菜單中選擇Send toIntruder選項，Burp Suite將攔截獲得的數據發送給了Intruder，進行選擇、分析，如圖3-23所示。

圖2-23  Send Data to Intruder

單擊Burp Suite的Intruder標籤，選擇Positions項目。這裏是暴力破解的主戰場，能夠看到Intruder已經將頁面發送數據中全部可爆破的參數都標示出來了，如圖2-24所示。

圖2-24  Intruder項目

這裏全部標示出來的參數都是能夠用於暴力破解的。實際上只須要暴力破解username和password這兩個參數就能夠。單擊Clear$按鈕。清除全部備選目標，而後選擇須要暴力破解的兩個參數username和passowrd，單擊Add$按鈕，將這兩個攻擊目標的參數標示起來，如圖2-25所示。

圖3-25  選擇暴力破解目標

再來看看Intruder項目的攻擊模式Attack type。Intruder的攻擊模式有4種。分別爲Sniper、Battering ram、pitchfork、Cluster Bomb模式。

Sniper是狙擊模式，這種模式適合單一的目標參數破解。以本次破解爲例，若是已知了用戶名username，那就只須要暴力破解密碼password就能夠了。這就是單一的目標參數破解。只須要給一個字典，Intruder就用這個字典中的全部密碼測試一遍。假設已給出密碼字典爲[a, b, c, d]，破解方式爲：

Password

-------------

 a

 b

 c

 d

　　

Battering ram是撞擊模式，這種模式無論有多少個目標參數破解，都只用一個密碼字典。以本次破解爲例，有兩個目標參數須要破解，Intruder將密碼字典中的密碼同時給這兩個目標，假設已給出密碼字典爲[a, b, c, d]，破解方式爲：

username | password

a  | a

b  | b

c  | c

d  | d

Pitchfork是交叉模式，這種模式中有多少個目標參數，就須要給多少個密碼字典。以本次破解爲例，有兩個目標參數須要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。Intruder將破解2次，破解方式爲：

username | password

1  | a

 2  | b

Cluster bomb是集束炸彈模式，這種模式的中有多少目標參數，就須要多少個密碼字典。以本次破解爲例，有兩個目標參數須要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。破解方式爲：

username | password

1  | a

1  | b

1  | c

1  | d

2  | a

2  | b

2  | c

2  | d

　　本次破解有2個目標參數username和password，須要2個字典。選擇Cluster bomb模式，如圖3-26所示。

圖3-26  Attack Type

單擊Payloads標籤，爲目標設置字典。第一個目標參數是username，用戶名通常就是[root, admin, administrator]，將這幾個用戶名輸入到第一個目標參數的密碼字典中去，如圖3-27所示。

圖3-27  輸入用戶名到字典

第2個目標參數是password，將建立的weak_top25.txt文件做爲密碼字典就能夠了，如圖3-28所示。

圖3-28  載入文件做密碼字典

全部設置完畢後，單擊Startattack按鈕開始破解。最後獲得的結果如圖3-29所示。

圖3-29  Low安全級別的破解

Length是從服務器返回數據的長度。只有一個長度不同凡響，那這個用戶名和密碼一定是正確的。測試一下，回到DVWA的Brute Force項目，輸入用戶名和密碼admin:password，單擊Login按鈕，返回的結果如圖3-30所示。

圖3-30  測試結果

驗證用戶名密碼可用。暴力破解成功。

有興趣的歡迎一塊兒讀這本書《11招玩轉網絡安全——用Python，更安全》