学习网络攻防技术一定离不开靶场练习,Dvwa就是一个非常经典的靶场。Dvwa是用PHP+Mysql编写的一套用于常规Web漏洞教学和检测的Web脆弱性测试程序,包含了SQL注入、XSS、盲注等常见的一些安全漏洞。

本文是i春秋论坛作家「sn0w」表哥发布的一篇关于靶场练习的文章,感兴趣的小伙伴快来学习吧。公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

本次我们测试使用的是Version 1.9 ,首先完成的是low,也就是最简单的,其后我们会不断提高难度完成所有级别的挑战。在挑战的过程中我们会分析程序的源代码,了解漏洞产生的原理及简单的修复方案。

安装完成后默认的登录信息为admin/password,安装过程不再讲述。登录后默认的等级为impossible,我们可以通过左侧菜单栏处内的Dvwa Security进行设置,本次我们挑战的等级为Low。

测试模块1:Brute Force

暴力破解一般指穷举法,穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。

穷举法也称为枚举法,通过观察页面发现没有任何防治爆破的验证,所以我们可以通过BurpSuite等工具进行枚举。

 1、我们首先配置好BurpSuite的本地代理抓取登录表单信息。

2、将表单进行提交到intruder模块,并将password设置为我们破解的payload。

3、载入字典文件。

4、开始枚举,得到密码。

关于BurpSuite的详细设置因为不是我们这次的重点,所以没有详细介绍。

扩展:通过观察这个模块的源代码,我们发现这里还有一处可以利用的地方,代码如下。

文件地址:

./DVWA/vulnerabilities/brute/source/low.php

通过简单的分析代码可以看到,这是一个典型的万能密码(有关万能密码请移步:http://bbs.ichunqiu.com/threa...)漏洞,当我们输入'or 1=1 limit 1,1 -- 即可绕过登录验证。

测试模块2:Command Injection

命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。

命令连接符:

command1 && command2   先执行command1后执行command2

command1 | command2     只执行command2

command1 & command2    先执行command2后执行command1

以上三种连接符在Windows和Linux环境下都支持。

如果程序没有进行过滤,那么我们就可以通过连接符执行多条系统命令。

通过连接符&&执行多条命令

修复建议:

过滤用户输入的数据,同时这种调用系统命令的模块能不能最好不用。

测试模块3:Cross Site Request Forgery

简单点说CSRF就是让已经授权的用户代替我们完成我们要做的事情。

1、这里我们首先把他的这个表单复制下来。

2、修改完成的表单,这里注意一下name为Change的,因为后台对他进行了判断,所以不能省略。

3、下面我们通过配合XSS或者社工欺骗管理员打开改页面,页面会一闪而过并显示PassWord Change。

扩展:

这里可能会被管理员发现,但是如果我们通过iframe让他隐藏。具体会在攻击模块Stored Cross Site Scripting (XSS)中讲到,我们会让xss + csrf完美配合。

修复方案:

添加token并验证是现在最常见的修复方式,不过这个的前提是没有XSS,因为如果存在xss那么同样可以通过xss获取token在进行提交。

测试模块4:File Inclusion

服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。

1、通过URL我们可以判断可能存在文件包含漏洞(其实这个模块的名字就是文件包含)。

2、测试文件包含漏洞,通过./跨目录成功包含phpinfo。

修复方案:

我们先看一下代码

文件地址:

./DVWA/vulnerabilities/fi/source/low.php

文件地址:

./DVWA/vulnerabilities/fi/index.php部分

可以看到直接获取了通过GET动态获取包含的文件。我们只需要将相对路径改为绝对路径就可以修复,或者我们限制使用./,防止目录跳转。

以上今天要发分享的全部内容,大家看懂了吗?由于原文篇幅较长,我们分了上/下篇,更多知识技能,请关注i春秋公众号~

文章素材来源于i春秋社区

新来的朋友如果想要了解其他的必备技能和实用工具,可以点击菜单栏中的入门锦囊查看相关内容:


i春秋
10 声望6 粉丝