Docker中啓動LocalDVWA容器,準備DVWA環境。在瀏覽器地址欄輸入http://127.0.0.1, 中打開DVWA靶機。自動跳轉到了http://127.0.0.1/login.php 登錄頁面。輸入默認的用戶名密碼admin:password登錄。單擊頁面左側的DVWA Security,進行安全級別設置,如圖3-18所示。
圖3-18 DVWA安全級別
DVWA的安全級別有4種,分別爲Low、Medium、High和Impossible。先選擇最低的安全級別,單擊Submit按鈕確認選擇。
單擊頁面左側的BruteForce按鈕,進入暴力破解測試頁面,單擊View Source按鈕,如圖3-19所示。
圖3-19 Low Brute Force源代碼
獲取的代碼如下:
<?php
if( isset( $_GET[ 'Login' ] ) ) {
// Getusername
$user =$_GET[ 'username' ];
// Getpassword
$pass =$_GET[ 'password' ];
$pass =md5( $pass );
// Checkthe database
$query = "SELECT * FROM`users` WHERE user = '$user' AND password = '$pass';";
$result= mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' .((is_object($GLOBALS["___mysqli_ston"])) ?mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res =mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
if($result && mysqli_num_rows( $result ) == 1 ) {
//Get users details
$row = mysqli_fetch_assoc($result );
$avatar = $row["avatar"];
//Login successful
echo"<p>Welcome to the password protected area {$user}</p>";
echo"<img src=\"{$avatar}\" />";
}
else {
//Login failed
echo"<pre><br />Username and/or passwordincorrect.</pre>";
}
((is_null($___mysqli_res =mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>從代碼中可以看出,服務器沒有對輸入的用戶名和密碼做任何的檢查,直接就進行了SQL查詢。這種情況用SQL注入也非常的方便,但這裏測試的是暴力破解。
瀏覽器啓用SwitchyOmega的Burp Suite模式,啓動Burp Suite監聽本地的8080端口。在頁面中任意輸入一個用戶名和密碼,如圖3-20所示。
圖3-20 DVWA發送數據到Burp Suite
關閉瀏覽器其他的標籤頁,避免干擾。啓動Burp Suite,打開Proxy標籤頁的Intercept項,將項目按鈕調整成Intercept is on,如圖3-21所示。
圖3-21 Burp Suite攔截
回到DVWA頁面中,單擊Login按鈕。瀏覽器向服務器127.0.0.1發送數據,通過127.0.0.1:8080端口,被Burp Suite攔截。Burp Suite顯示攔截下來的數據,如圖3-22所示。
圖3-22 攔截的數據
在Raw的文本框中單擊鼠標郵件,在彈出的菜單中選擇Send toIntruder選項,Burp Suite將攔截得到的數據發送給了Intruder,進行選擇、分析,如圖3-23所示。
圖3-23 Send Data to Intruder
單擊Burp Suite的Intruder標籤,選擇Positions項目。這裏是暴力破解的主戰場,可以看到Intruder已經將頁面發送數據中所有可爆破的參數都標示出來了,如圖2-24所示。
圖2-24 Intruder項目
這裏所有標示出來的參數都是可以用於暴力破解的。實際上只需要暴力破解username和password這兩個參數就可以。單擊Clear$按鈕。清除所有備選目標,然後選擇需要暴力破解的兩個參數username和passowrd,單擊Add$按鈕,將這兩個×××目標的參數標示起來,如圖2-25所示。
圖3-25 選擇暴力破解目標
再來看看Intruder項目的×××模式Attack type。Intruder的×××模式有4種。分別爲Sniper、Battering ram、pitchfork、Cluster Bomb模式。
Sniper是狙擊模式,這種模式適合單一的目標參數破解。以本次破解爲例,如果已知了用戶名username,那就只需要暴力破解密碼password就可以了。這就是單一的目標參數破解。只需要給一個字典,Intruder就用這個字典中的所有密碼測試一遍。假設已給出密碼字典爲[a, b, c, d],破解方式爲:
Password
-------------
a
b
c
d
Battering ram是撞擊模式,這種模式不管有多少個目標參數破解,都只用一個密碼字典。以本次破解爲例,有兩個目標參數需要破解,Intruder將密碼字典中的密碼同時給這兩個目標,假設已給出密碼字典爲[a, b, c, d],破解方式爲:
username | password
a | a
b | b
c | c
d | dPitchfork是交叉模式,這種模式中有多少個目標參數,就需要給多少個密碼字典。以本次破解爲例,有兩個目標參數需要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。Intruder將破解2次,破解方式爲:
username | password
1 | a
2 | bCluster bomb是集束×××模式,這種模式的中有多少目標參數,就需要多少個密碼字典。以本次破解爲例,有兩個目標參數需要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。破解方式爲:
username | password
1 | a
1 | b
1 | c
1 | d
2 | a
2 | b
2 | c
2 | d本次破解有2個目標參數username和password,需要2個字典。選擇Cluster bomb模式,如圖3-26所示。
圖3-26 Attack Type
單擊Payloads標籤,爲目標設置字典。第一個目標參數是username,用戶名一般就是[root, admin, administrator],將這幾個用戶名輸入到第一個目標參數的密碼字典中去,如圖3-27所示。
圖3-27 輸入用戶名到字典
第2個目標參數是password,將創建的weak_top25.txt文件作爲密碼字典就可以了,如圖3-28所示。
圖3-28 載入文件作密碼字典
所有設置完畢後,單擊Startattack按鈕開始破解。最後得到的結果如圖3-29所示。
圖3-29 Low安全級別的破解
Length是從服務器返回數據的長度。只有一個長度與衆不同,那這個用戶名和密碼必定是正確的。測試一下,回到DVWA的Brute Force項目,輸入用戶名和密碼admin:password,單擊Login按鈕,返回的結果如圖3-30所示。
圖3-30 測試結果
驗證用戶名密碼可用。暴力破解成功。
有興趣的歡迎一起讀這本書《11招玩轉網絡安全——用Python,更安全》