本次搭建OWASP靶机中自带的DWVA靶机对暴力破解进行测试
Simple级别
源代码查看
<?php
if( isset( $_GET['Login'] ) ) {
$user = $_GET['username'];
$pass = $_GET['password'];
$pass = md5($pass);
$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';";
$result = mysql_query( $qry ) or die( '<pre>' . mysql_error() . '</pre>' );
if( $result && mysql_num_rows( $result ) == 1 ) {
// Get users details
$i=0; // Bug fix.
$avatar = mysql_result( $result, $i, "avatar" );
// Login Successful
echo "<p>Welcome to the password protected area " . $user . "</p>";
echo '<img src="' . $avatar . '" />';
} else {
//Login failed
echo "<pre><br>Username and/or password incorrect.</pre>";
}
mysql_close();
}
?>
根据源代码查看出现关键代码
$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';";
说明除了此题可以进行暴力破解,而且能够进行SQL注入测试
SQL注入方法破解
很明显SQL查询语句是可以对账户,密码进行拼接,所以可以尝试通过万能密码和注释符进行测试
user = ' or '1'='1‘’ #
为了便于查看SQL语句,对源代码进行编辑,能够打印出拼接后的结果
测试结果
根据测试结果和源代码审计发现,虽然成功进行了注入,逃过密码验证,但是由于if判断时,返回结果只能返回一个,所以导致报错。
所以根据代码进行改正测试的注入代码
'or '1' ='1' limit 0,1#
成功注入
当然除了可以进行使用万能密码外,可以在知道用户名时尝试其他的注入方法,例如
admin' #
admin' --
口令暴力破解
首先捕获请求数据包,对要进行的变量进行标记
请求数据包
对指定变量进行字典替换并请求
成功爆破出密码
Medium级别
源代码查看
<?php
if( isset( $_GET[ 'Login' ] ) ) {
// Sanitise username input
$user = $_GET[ 'username' ];
$user = mysql_real_escape_string( $user );
// Sanitise password input
$pass = $_GET[ 'password' ];
$pass = mysql_real_escape_string( $pass );
$pass = md5( $pass );
$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';";
$result = mysql_query( $qry ) or die( '<pre>' . mysql_error() . '</pre>' );
if( $result && mysql_num_rows($result) == 1 ) {
// Get users details
$i=0; // Bug fix.
$avatar = mysql_result( $result, $i, "avatar" );
// Login Successful
echo "<p>Welcome to the password protected area " . $user . "</p>";
echo '<img src="' . $avatar . '" />';
} else {
//Login failed
echo "<pre><br>Username and/or password incorrect.</pre>";
}
mysql_close();
}
?>
根据源代码查看出现关键代码
$user = mysql_real_escape_string( $user );
此函数对输入的字符进行转义
单引号过滤
查询MySQL版本
因此对该函数在MySQL5.5.37以下版本有绕过方法
对于\’进行绕过时,可以考虑宽字节注入,常用的%df进行测试
宽字节注入失败
因为宽字节注入是在GBK编码下进行利用,所以可以查看数据库编码
show variables like 'char%'
MySQL编码查看
但是该等级并未对暴力破解增加任何防护,所以同Low等级,直接暴力破解即可。
High级别
源代码查看
<?php
if( isset( $_GET[ 'Login' ] ) ) {
// Sanitise username input
$user = $_GET[ 'username' ];
$user = stripslashes( $user );
$user = mysql_real_escape_string( $user );
// Sanitise password input
$pass = $_GET[ 'password' ];
$pass = stripslashes( $pass );
$pass = mysql_real_escape_string( $pass );
$pass = md5( $pass );
$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';";
$result = mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );
if( $result && mysql_num_rows( $result ) == 1 ) {
// Get users details
$i=0; // Bug fix.
$avatar = mysql_result( $result, $i, "avatar" );
// Login Successful
echo "<p>Welcome to the password protected area " . $user . "</p>";
echo '<img src="' . $avatar . '" />';
} else {
// Login failed
sleep(3);
echo "<pre><br>Username and/or password incorrect.</pre>";
}
mysql_close();
}
?>
根据源代码查看出现关键代码
$user = stripslashes( $user );
此函数对输入的字符进行转义
在暴力破解方面,增加了关键代码
sleep(3);
每爆破错误一次 ,就停止3s验证,导致整个爆破时间拉长,从而增加工具者的时间成本,但不是最安全的
个人认为最安全的方法是SQL注入部分进行实体化参数代入,暴力破解防御应适当加入验证码,以及当日最大错误次数等机制进行防御。
