《11招玩轉網路安全》之第三招:Web暴力破解-Low級別
Docker中啟動LocalDVWA容器,準備DVWA環境。在瀏覽器位址列輸入http://127.0.0.1,中開啟DVWA靶機。自動跳轉到了http://127.0.0.1/login.php登入頁面。輸入預設的使用者名稱密碼admin:password登入。單擊頁面左側的DVWA Security,進行安全級別設定,如圖3-18所示。
圖3-18 DVWA安全級別
DVWA的安全級別有4種,分別為Low、Medium、High和Impossible。先選擇最低的安全級別,單擊Submit按鈕確認選擇。
單擊頁面左側的BruteForce按鈕,進入暴力破解測試頁面,單擊View Source按鈕,如圖3-19所示。
圖3-19 Low Brute Force原始碼
獲取的程式碼如下:
<?php if( isset( $_GET[ 'Login' ] ) ) { // Getusername $user =$_GET[ 'username' ]; // Getpassword $pass =$_GET[ 'password' ]; $pass =md5( $pass ); // Checkthe database $query = "SELECT * FROM`users` WHERE user = '$user' AND password = '$pass';"; $result= mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' .((is_object($GLOBALS["___mysqli_ston"])) ?mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res =mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); if($result && mysqli_num_rows( $result ) == 1 ) { //Get users details $row = mysqli_fetch_assoc($result ); $avatar = $row["avatar"]; //Login successful echo"<p>Welcome to the password protected area {$user}</p>"; echo"<img src=\"{$avatar}\" />"; } else { //Login failed echo"<pre><br />Username and/or passwordincorrect.</pre>"; } ((is_null($___mysqli_res =mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
從程式碼中可以看出,伺服器沒有對輸入的使用者名稱和密碼做任何的檢查,直接就進行了SQL查詢。這種情況用SQL注入也非常的方便,但這裡測試的是暴力破解。
瀏覽器啟用SwitchyOmega的Burp Suite模式,啟動Burp Suite監聽本地的8080埠。在頁面中任意輸入一個使用者名稱和密碼,如圖3-20所示。
圖3-20 DVWA傳送資料到Burp Suite
關閉瀏覽器其他的標籤頁,避免干擾。啟動Burp Suite,開啟Proxy標籤頁的Intercept項,將專案按鈕調整成Intercept is on,如圖3-21所示。
圖3-21 Burp Suite攔截
回到DVWA頁面中,單擊Login按鈕。瀏覽器向伺服器127.0.0.1傳送資料,通過127.0.0.1:8080埠,被Burp Suite攔截。Burp Suite顯示攔截下來的資料,如圖3-22所示。
圖3-22 攔截的資料
在Raw的文字框中單擊滑鼠郵件,在彈出的選單中選擇Send toIntruder選項,Burp Suite將攔截得到的資料傳送給了Intruder,進行選擇、分析,如圖3-23所示。
圖2-23 Send Data to Intruder
單擊Burp Suite的Intruder標籤,選擇Positions專案。這裡是暴力破解的主戰場,可以看到Intruder已經將頁面傳送資料中所有可爆破的引數都標示出來了,如圖2-24所示。
圖2-24 Intruder專案
這裡所有標示出來的引數都是可以用於暴力破解的。實際上只需要暴力破解username和password這兩個引數就可以。單擊Clear$按鈕。清除所有備選目標,然後選擇需要暴力破解的兩個引數username和passowrd,單擊Add$按鈕,將這兩個攻擊目標的引數標示起來,如圖2-25所示。
圖3-25 選擇暴力破解目標
再來看看Intruder專案的攻擊模式Attack type。Intruder的攻擊模式有4種。分別為Sniper、Battering ram、pitchfork、Cluster Bomb模式。
Sniper是狙擊模式,這種模式適合單一的目標引數破解。以本次破解為例,如果已知了使用者名稱username,那就只需要暴力破解密碼password就可以了。這就是單一的目標引數破解。只需要給一個字典,Intruder就用這個字典中的所有密碼測試一遍。假設已給出密碼字典為[a, b, c, d],破解方式為:
Password
-------------
a
b
c
d
Battering ram是撞擊模式,這種模式不管有多少個目標引數破解,都只用一個密碼字典。以本次破解為例,有兩個目標引數需要破解,Intruder將密碼字典中的密碼同時給這兩個目標,假設已給出密碼字典為[a, b, c, d],破解方式為:
username | password
a | a
b | b
c | c
d | d
Pitchfork是交叉模式,這種模式中有多少個目標引數,就需要給多少個密碼字典。以本次破解為例,有兩個目標引數需要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。Intruder將破解2次,破解方式為:
username | password
1 | a
2 | b
Cluster bomb是集束炸彈模式,這種模式的中有多少目標引數,就需要多少個密碼字典。以本次破解為例,有兩個目標引數需要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。破解方式為:
username | password
1 | a
1 | b
1 | c
1 | d
2 | a
2 | b
2 | c
2 | d
本次破解有2個目標引數username和password,需要2個字典。選擇Cluster bomb模式,如圖3-26所示。
圖3-26 Attack Type
單擊Payloads標籤,為目標設定字典。第一個目標引數是username,使用者名稱一般就是[root, admin, administrator],將這幾個使用者名稱輸入到第一個目標引數的密碼字典中去,如圖3-27所示。
圖3-27 輸入使用者名稱到字典
第2個目標引數是password,將建立的weak_top25.txt檔案作為密碼字典就可以了,如圖3-28所示。
圖3-28 載入檔案作密碼字典
所有設定完畢後,單擊Startattack按鈕開始破解。最後得到的結果如圖3-29所示。
圖3-29 Low安全級別的破解
Length是從伺服器返回資料的長度。只有一個長度與眾不同,那這個使用者名稱和密碼必定是正確的。測試一下,回到DVWA的Brute Force專案,輸入使用者名稱和密碼admin:password,單擊Login按鈕,返回的結果如圖3-30所示。
圖3-30 測試結果
驗證使用者名稱密碼可用。暴力破解成功。
有興趣的歡迎一起讀這本書《11招玩轉網路安全——用Python,更安全》