暴力破解漏洞,没有对登录框做登录限制,攻击者可以不断的尝试暴力枚举用户名和密码
LOW
审计源码
<?php
// 通过GET请求获取Login传参,
// isset判断一个变量是否已设置,判断方法是变量是否为null
if( isset( $_GET[ 'Login' ] ) ) {
// 获取用户名
$user = $_GET[ 'username' ];
// 获取密码
$pass = $_GET[ 'password' ];
// 使用md5方法加密获取的密码
$pass = md5( $pass );
// 定义SQL查询语句
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
// mysqli_query()方法对数据库进行一次SQl查询
// $GLOBALS 引用全局作用域中可用的全部变量,这里调用___mysqli_ston
// is_object()检测___mysqli_ston是否为一个对象
// 使用的是 a ? b : c 的格式,这个语法为,如果 a == true 则采用 b ,否则采用 c 后面的我也不是太懂
// 检查数据库是否存在传入的用户名和密码
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// mysqli_num_rows()获得SQL查询语句中的行数
// 判断 $result 返回查询是否为空 和 返回的行数是否为1
if( $result && mysqli_num_rows( $result ) == 1 ) {
// mysqli_fetch_assoc()方法获取返回行中列的信息
$row = mysqli_fetch_assoc( $result );
// 获取返回行 avatar 列中的图片路径
$avatar = $row["avatar"];
// 登录成功
// 打印欢迎和图片
echo "<p>Welcome to the password protected area {$user}</p>";
echo "<img src=\"{$avatar}\" />";
}
else {
// 登录失败
echo "<pre><br />Username and/or password incorrect.</pre>";
}
// is_null()检测一个变量是否为null,这句话我也不太懂
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
通过简单的代码分析,可以看到,这里没有对我们传入的username和password进行过滤,也没有什么认证机制
sql注入
虽然这里是暴力破解漏洞,但是在登录框中,对传入的用户名和密码不进行过滤,也会存在sql注入漏洞
构造payload,在用户名里输入admin'#,密码为空,发现可以登录成功
分析:
# 默认sql语句为
SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';
# 传入`admin'#`就变为了
SELECT * FROM `users` WHERE user = 'admin'#' AND password = '$pass';
注意: mysql中 # 号为注释
所以'对admin用户进行闭合,使用#对后面的密码进行注释
语句就成为了
SELECT * FROM `users` WHERE user = 'admin'
那么只要查询到admin用户,不需要输入密码就可以登录成功
暴力破解
需要使用工具burpsuite
由于没有做任何的拦截,直接开启代理抓取数据包
在登录框内随便输入用户名和密码进行提交,设置浏览器代理为127.0.0.1,端口为8080
打开burpsuite,点击登录,查看抓取数据包
这里可以看到,已经抓取到了用户名位admin,密码为123456的数据包
点击Action -> Send to Intruder Ctrl+I,将数据包转到重发模式
然后点击Intruder转到爆破模块
首先点击右侧Clear $清楚所有变量,然后选中username和password点击ADD $进行增加变量
选择攻击模式为Cluster bomb模式
这四个模式,我用自己的理解方式,简单的理解了一下
1.狙击手模式:对一个变量进行破解,只能选择一个字典,依次破解各个变量
2.攻城锥模式:所有变量使用一个字典,同时进行破解
3.干草叉模式:一个变量一个字典,在进行破解是,两个变量同时进行破解,各自用各自的字典
4.集束炸弹模式:一个变量对应一个字典,在使用第一个变量的第一个值得时候,第二个值会把所有的字典循环一遍,然后第一个变量循环第二个值,第二个值继续循环所有值。
然后选择字典,手写一个简单的字典,有正确用户名和密码就可以
同样加载密码字典,然后点击Start attack,进行攻击
我是用的是burpsuite community社区版,是免费的的,只能设置一个线程
如果使用的是burpsuite professional 专业版,可以设置很高线程,一瞬间就可以爆破成功
爆破过程中,点击Length返回长度从小到大进行排序,可以看到破解次数在48次的时候,用户名为admin,密码为password返回长度不一样
使用用户名admin,密码password登录测试
登录成功,成功过关
Medium
审计源码
<?php
if( isset( $_GET[ 'Login' ] ) ) {
// 获取用户名
$user = $_GET[ 'username' ];
// mysqli_real_escape_string() 对 SQL 语句中的特殊字符进行转义
$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 获取密码
$pass = $_GET[ 'password' ];
$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 使用md5函数加密密码
$pass = md5( $pass );
// 定义SQL查询语句
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
// 进行SQL注入查询
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
if( $result && mysqli_num_rows( $result ) == 1 ) {
// 获取图片路径
$row = mysqli_fetch_assoc( $result );
$avatar = $row["avatar"];
// 登录成功
echo "<p>Welcome to the password protected area {$user}</p>";
echo "<img src=\"{$avatar}\" />";
}
else {
// 登录失败 延迟2秒
sleep( 2 );
echo "<pre><br />Username and/or password incorrect.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
通过观察,使用了mysqli_real_escape_string()对传入的用户名和密码进行实例化,所以像LOW一样的SQL注入是不可以了
但是对于我们的暴力破解没有做任何限制,只进行了一个登录失败返回延迟2秒,对暴力破解没太大影响
和上一关一样的暴力破解方式
High
审计源码
<?php
if( isset( $_GET[ 'Login' ] ) ) {
// 检查CSRF令牌
// checkToken()在网上找不到帮助,应该是检察官token值是否正确
// $_REQUEST 收集HTML表单提交user_token的数据
// $_SESSION 验证session_token是否正常
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// 获取用户名
// stripslashes() 删除反斜杠
$user = $_GET[ 'username' ];
$user = stripslashes( $user );
$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 获取密码
$pass = $_GET[ 'password' ];
$pass = stripslashes( $pass );
$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass = md5( $pass );
// 数据库查询
$query = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
if( $result && mysqli_num_rows( $result ) == 1 ) {
// 获取图片
$row = mysqli_fetch_assoc( $result );
$avatar = $row["avatar"];
// 登录成功
echo "<p>Welcome to the password protected area {$user}</p>";
echo "<img src=\"{$avatar}\" />";
}
else {
// 登录失败,延迟0~3秒
sleep( rand( 0, 3 ) );
echo "<pre><br />Username and/or password incorrect.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
这里添加了判断user_token的地方,还有一个登录失败,返回时间为0~3秒,想用这个延迟暴力破解那么user_token是什么呢
在我们访问目标服务器时,目标服务器会返回一个user_token,当我们对目标服务器进行一些操作时,服务器会验证我们的user_token,如果user_token值不对,则会操作失败
那么这个user_token在哪里?通过$_REQUEST可以知道,通过HTML表单获取的user_token
所以在进行爆破时,每一次爆破都需要获取一次user_token
burpsuite可以实现这个功能
首先抓包,转到爆破模块
选择字典,首先password字典这里不在演示,然后是user_token字典,需要在Option -> Grep-Extract中获取
并将该页面的token值复制
设置user_token字典,开始爆破
提示报错,是能进行单线程爆破,所以,设置单线程Resource Pool ->
设置后开始攻击
password密码返回长度不一样,爆破成功
Impossible
审计源码
<?php
if( isset( $_POST[ 'Login' ] ) && isset ($_POST['username']) && isset ($_POST['password']) ) {
// 检查user_token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// 去除用户名中的反斜杠
$user = $_POST[ 'username' ];
$user = stripslashes( $user );
$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 去除密码中的反斜杠
$pass = $_POST[ 'password' ];
$pass = stripslashes( $pass );
$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 使用md5加密密码
$pass = md5( $pass );
// 默认值,字面意思
$total_failed_login = 3; //登录失败锁定次数
$lockout_time = 15; //锁定时间
$account_locked = false; //账户状态,默认不锁定
// 引入了PDO技术,进行SQL查询
$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
$data->bindParam( ':user', $user, PDO::PARAM_STR );
$data->execute();
$row = $data->fetch();
// 检查账户是否被锁定
if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) ) {
// User locked out. Note, using this method would allow for user enumeration!
//echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";
// 计算用户再次登录的时间
// strtotime()将任何字符串的日期当做时间戳;获取数据库中last_login,用户最后一次登录的时间
$last_login = strtotime( $row[ 'last_login' ] );
// 获取的时间加上 15分钟,得到锁定时间
$timeout = $last_login + ($lockout_time * 60);
// 获取当期时间
$timenow = time();
/*
print "The last login was: " . date ("h:i:s", $last_login) . "<br />";
print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";
print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";
*/
// 如果当前时间小于锁定时间,则继续锁定账户
if( $timenow < $timeout ) {
$account_locked = true;
// print "The account is locked<br />";
}
}
// 进行账户名和密码的查询
$data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', $user, PDO::PARAM_STR);
$data->bindParam( ':password', $pass, PDO::PARAM_STR );
$data->execute();
$row = $data->fetch();
// 如果登录成功
if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
// 获取账户avatar,failed_login,last_login信息
$avatar = $row[ 'avatar' ];
$failed_login = $row[ 'failed_login' ];
$last_login = $row[ 'last_login' ];
// 登录成功
echo "<p>Welcome to the password protected area <em>{$user}</em></p>";
echo "<img src=\"{$avatar}\" />";
// 登录失败的次数和时间
if( $failed_login >= $total_failed_login ) {
echo "<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";
echo "<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>${last_login}</em>.</p>";
}
// 重置登录错误次数
$data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
$data->bindParam( ':user', $user, PDO::PARAM_STR );
$data->execute();
} else {
// 登陆失败返回随机2~4秒延迟
sleep( rand( 2, 4 ) );
// 给用户一些反馈
echo "<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";
// 更新登录错误的计数器
$data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
$data->bindParam( ':user', $user, PDO::PARAM_STR );
$data->execute();
}
// 设置上次登录的时间
$data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
$data->bindParam( ':user', $user, PDO::PARAM_STR );
$data->execute();
}
// 生成反CSRF令牌
generateSessionToken();
?>
Impossible!
