2018.7.17动态安全漏洞鉴定(dvwa )是一个PHP/MySQL web APP包,为安全专家测试自己的专业知识和工具提供了合法的环境DWA包括以下10个模块:
Brute Force (暴力)破解) ) ) ) ) ) ) ) )暴力) ) ) ) )
Command Injection (命令行注入) ) ) ) ) ) ) ) )。
跨网站请求伪造(CRF ) )。
文件包含) ) ) )。
文件上载)。
不安全的验证码)
SQL注入(SQL注入) )。
SQLinjection(blind ) (SQL盲) ) ) )。
XSS(reflected ) ) (反射式交叉站点脚本) ) ) ) ) ) ) ) ) )。
XSS(stored ) )存储型跨站点脚本) ) )。
请注意,DVWA 1.9中的代码分为四个安全级别: Low、Medium、High和Impossible。 通过比较四个级别的代码,可以接触到一些PHP代码审计的内容。
构建DWA下载phpStudy
http://phpstudy.php.cn/
phpStudy是一个集成了Apache和MySql的集成环境,可以下载并安装。
如果运行时显示VC运行库不足
32位的vc9:http://www.Microsoft.com/zh-cn/download/details.aspx? id=5582
64位的vc9:http://www.Microsoft.com/zh-cn/download/details.aspx? id=15336
安装后,运行127.0.0.1以确定是否可以使用该界面
DVWA http://www.dvwa.co.uk/
下载并解压缩,然后将其放在phpStudy的WWW目录下
2 .为了构成相关文件,优选的是首先构成phpStudy的数据库密码
将DVWA/confing下的config.inc.php.dist更改为
config.inc.php,找到其中的,将其改为刚安装的原始db_password
3 .修复成功后访问127.0.0.1/DVWA
创建后,如果没有问题的话会自动跳转到登录画面
帐户/密码: admin/password
DVWA上的漏洞列表DVMA正如他的名字所示,是包含多个漏洞的APP交流系统。 DVWA漏洞包括owaspoepenwebapplicationsecurityproject中web 10的一个重大漏洞。 DWA具体包括以下漏洞:
1 .暴力漏洞解决通过brute force登录页面进入该漏洞的测试位置。 该漏洞用于测试暴力破解工具,并展示不安全的弱密码。
2 .在具有指令执行漏洞风险的系统上执行指令。
3.CSRF伪造跨站点请求漏洞,允许攻击者修改APP应用程序管理员密码。
4.SQL注入,DVWA包括盲注入和错误型注入两种SQL注入漏洞类型。
5 .不安全文件上传漏洞,以便攻击者将恶意文件上传到web服务器
6.XSS跨站点脚本漏洞。 允许攻击者将自己的脚本注入web服务器。 DVWA系统包括两种类型:反射XSS和存储XSS。
7 .文件包含漏洞,允许包含本地文件和远程文件
8 .绕过验证码
文件上传漏洞在于,用户现在可以上传可执行的脚本文件,并从该脚本文件中执行服务器端命令。
文件上载到的文件载体必须具备以下条件才能正常工作:既可以在服务器端执行,也可以影响服务器端的行为。
(1)上传的文件是可执行的,或者会影响服务器的行为,因此文件所在的目录必须在WEB容器覆盖的路径内(必须在此服务器下)
)用户能够从Web访问该文件,使Web容器解释该文件的执行; 可以访问上传的这个文件)
3 )上传的文件必须经过安全检查,内容不会因格式化、压缩等处理而变更。
(文件内容保持不变)
绕过方案:
使用Burpsuite:
1 )将特洛伊木马的扩展名更改为jpg等普通图像扩展名
2 )上传时使用Burpsuite拦截数据包,将木马的扩展名更改为原php,即可绕过客户端的认证。
注:在此处更改文件名后,还必须更改请求标头的Content-Length值
文件名大小写绕过
用AsP、pHp等文件名绕过黑名单检查
名单列表绕过
用黑名单上没有的名单进行攻击。 比如黑名单上没有asa和cer之类的
特殊文件名绕过
例如,windows系统不允许将文件名更改为test.asp .或test.asp_ (下划线为空格)发送的http包
需要在burp 之类里进行修改,然后绕过验证后,会被windows 系统自动去掉后面的点和空格,(Unix/Linux 系统没有这个特性。)将一句话木马的文件名【evil.php】,改成【evil.php.abc】(奇怪的不被解析的后缀名都行)。首先,服务器验证文件扩展名的时候,验证的是【.abc】,只要该扩展名符合服务器端黑白名单规则,即可上传。另外,当在浏览器端访问该文件时,Apache如果解析不了【.abc】扩展名,会向前寻找可解析的扩展名,即【.php】
白名单检测绕过
白名单就是只能上传规定后缀的文件,主要利用截断上传绕过,有0x00截断与%00截断
0x00截断:
在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束。利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0x00上传截断漏洞。
通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束,从而将【evil.php.jpg】的内容写入到【evil.php】中,从而达到攻击的目的。
0x00的意思为16进制00,所以将对应的进制改成00(至于怎么找到对应代码,看右边对应代码,找到第几行,从左到右,每个字母对应一个代码),改完直接go
在/Upload/后面加一个空格,点开hex,将其对应的20改成00即可,可绕过后缀名的过滤,从而得到webshell。
%00截断:
将文件名后面直接加上%00.jpg,先绕过后缀上传,然后利用burp的urldecode功能,其实和/00截断将hex20变成00一样,效果一样,两种方法都可以拿webshell