接下来我们开始进入pikachu的学习了。
Pikachu下载地址
下载地址1:https://github.com/zhuifengshaonianhanlu/pikachu
下载地址2:https://pan.baidu.com/s/1JpJjLDQF5DXIuxbgmclRbA 提取码:ulm5
将其放入WWW文件下即可,在此我就不赘述了,网上的教程很多。
暴力破解
一、概述
Burte Force(暴力破解)概述
“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。 这里的认证安全策略, 包括:
1.是否要求用户设置复杂的密码;
2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp;
3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等);
4.是否采用了双因素认证;
...等等。
千万不要小看暴力破解漏洞,往往这种简单粗暴的攻击方式带来的效果是超出预期的!
你可以通过“BurteForce”对应的测试栏目,来进一步的了解该漏洞。
从来没有哪个时代的黑客像今天一样热衷于猜解密码 ---奥斯特洛夫斯基
二、基于表单的暴力破解
知识补充
1 Sinper:一个变量设置一个payload进行攻击
2 Battering ram:可以设置两个变量,把payload同时给两个变量
3 Pitchfork:两个变量分别设置payload,然后按顺序一一对应进行破解
4 Cluster bomb:两个变量分别设置payload,然后交叉列所有情况进行破解(常用)
①配置浏览器代理,使用burpsuite抓包,发送至Intruder(入侵者)模块
②如图所示设置攻击类型Attack type以及变量。
③在playloads中添加变量的字典,点击load加载,并开始破解。
④根据爆破返回出的长度确定正确用户名以及密码。 (admin-123456) 当然了,正确的用户名和密码有很多,这个只是我的字典爆出的,受字典影响,肯定不全。
三、验证码绕过(on server)服务器
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
if(isset($_POST['submit'])) { if (empty($_POST['username'])) { $html .="<p class='notice'>用户名不能为空</p>"; }else { if (empty($_POST['password'])) { $html .="<p class='notice'>密码不能为空</p>"; }else { if (empty($_POST['vcode'])) { $html .="<p class='notice'>验证码不能为空哦!</p>"; }else {// 验证验证码是否正确 if (strtolower($_POST['vcode']) !=strtolower($_SESSION['vcode'])) { $html .="<p class='notice'>验证码输入错误哦!</p>"; //应该在验证完成后,销毁该$_SESSION['vcode'] }else{ $username =$_POST['username']; $password =$_POST['password']; $vcode =$_POST['vcode']; $sql ="select * from users where username=? and password=md5(?)"; $line_pre =$link->prepare($sql); $line_pre->bind_param('ss',$username,$password); if($line_pre->execute()){ $line_pre->store_result(); //虽然前面做了为空判断,但最后,却没有验证验证码!!! if($line_pre->num_rows()==1){ $html.='<p> login success</p>'; }else{ $html.='<p> username or password is not exists~</p>'; } }else{ $html.='<p>执行错误:'.$line_pre->errno.'错误信息:'.$line_pre->error.'</p>'; } } } } }} |
分析源码,在比较完验证码后,没有重置验证码,漏洞由此可见,在我们输入了正确的验证码之后,验证码并没有过期,一直有效,可以继续使用。
①同样我们通过burpsuite抓包,发送至intruder模块,将验证码改为正确的验证码(因为正确的验证码一直有效),这样的们就可以绕过验证码来爆破用户名和密码了。
过程相似,我不一一截图了,参考表单的步骤。
②开始爆破,根据返回包长度判断正确的密码。
③登录测试,登陆成功。
四、验证码绕过(on client)客户端
这关依旧有验证码,通过观察源码不难发现,此次验证码是在前端中的js代码进行验证,与上一关的服务器端验证不同。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
<script language="javascript" type="text/javascript"> var code;//在全局 定义验证码 function createCode() { code =""; var codeLength = 5;//验证码的长度 var checkCode = document.getElementById("checkCode"); var selectChar =new Array(0, 1, 2, 3, 4, 5, 6, 7, 8, 9,'A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z');//所有候选组成验证码的字符,当然也可以用中文的 for (var i = 0; i < codeLength; i++) { var charIndex = Math.floor(Math.random() * 36); code += selectChar[charIndex]; } //alert(code); if (checkCode) { checkCode.className ="code"; checkCode.value = code; } } function validate() { var inputCode = document.querySelector('#bf_client .vcode').value; if (inputCode.length <= 0) { alert("请输入验证码!"); return false; }else if (inputCode != code) { alert("验证码输入错误!"); createCode();//刷新验证码 return false; } else { return true; } } createCode();</script> |
①Burpsuite抓包发送至Intruder模块。
②添加字典开始爆破。
五、token防爆破
①利用burpsuite抓取数据包,我们发现登录时提交了username,password,token,submit四个参数,每次服务器返回的登录页面都会包含一个随机的token值,这样每次提交都要验证token值,表面上可以防止爆破,但是后端产生的token每次都会以明文形式传到前端,从而产生了漏洞。
②将抓取的数据包发送至Intruder模块
③将Attack type 设置为pitch fork,为password和token值添加payload标志。
④在options栏中找到Grep-Extract,点击Add,点击Refetch response,进行请求,选取提取的token字符串,上面会自动填入数据的起始和结束标识,将此值保存下来,后面会用到。另外,将线程更改为1.
⑤在payloads栏中,将1变量设置密码字典,将2变量(token)选择为Recursive grep,并在下面如图所示的地方填入保存的值。
⑥从Results中可以看到上一次访问得到的token作为了本次请求的参数。而且从响应信息上也可以看到,没有提示token错误。长度不一样的password即为密码。
注:recursive grep类型只能单线程attack。