博客
关于我
pikachu 暴力破解 Brute Force(皮卡丘漏洞平台通关系列)
阅读量:196 次
发布时间:2019-02-28

本文共 2277 字,大约阅读时间需要 7 分钟。

官方概述

Pikachu 官方对暴力破解的介绍如下:

我忍不住想吐槽一下他们的“brute force”拼错了(~ ̄▽ ̄)~

小白菜的通关

作为一颗小白菜,我没有字典。但是我知道一个下载字典的好地方,那就是github!在github搜索“字典”,可以找到好多好多字典。然而,github上的很多资源下载速度很慢,实在忍不了。

后来我发现,可以在github找到心仪的字典后,通过gitee下载。这是因为gitee的下载速度更快,操作也更友好~(虽然并不是每个字典都能在gitee上找到(*>﹏<*)′

不过,对于这个靶场来说,没用字典也没关系。这个靶场主要教怎么绕过限制,特别是“基于表单的暴力破解”关卡点,提示里面已经告诉了我有三个用户密码。我可以用这些加上几个假字典来体验一下效果。

第一关 基于表单的暴力破解

  • 打开Burps Suite,一边随便输入一个用户名密码,观察回显,一边用Burps Suite抓包。

  • 把下面这个带usernamepassword参数的报文发送到 Intruder。

  • 在Intruder模块中设置:

    • Position选择usernamepassword的值。
    • Attack Type选择Cluster bomb(关于四种Attack Type的具体效果可以参考下文)。
  • 由于Position设置了两个,Attack Type选了Cluster bomb,因此需要两个字典。Payload的效果是两个字典条目的组合,数量是两个字典条目数的乘积。

  • 按照以下步骤操作:

    • 第一个字典选择simple list,加载用户名字典。
    • 第二个字典选择simple list,加载密码字典。
    • 注意:由于用户名和密码可能包含特殊字符,这里建议勾选URL-Encode。
  • 点击Start attack开始爆破。完成后,按长度排序,果然能找到那三个用户名密码(排序前的前三个,长度和其他都不一样的)。

  • 验证绕过(on server)

    第一关 绕过步骤

  • 观察一下,用户名和密码输入错误值时,返回的提示是“验证码错误”;当验证码是正确值时,返回提示是“用户名或密码不存在”。

  • 发现网页没刷新时,验证码可以多次使用。将刚刚试验的随便一个包发送到Repeater。

  • 将上面提到的请求包发送到Intruder,配置方式与第一关相同。

  • 完成后,按长度排序,果然能找到那三个用户名密码(排序前的前三个,长度和其他都不一样的)。

  • 一点思考

    为什么会产生这种情况呢?仔细查看本关的主要代码,发现验证完验证码后并没有销毁$_SESSION['vcode'],所以才导致$_SESSION['vcode']可以被多次使用。

    再查看生成$_SESSION['vcode']的代码,发现应该去../../inc/showvcode.php找。找到后发现只是简单地调用vcodex()生成$_SESSION['vcode']vcodex()function.php里,没什么可说的。

    此外,还发现有一个画蛇添足的步骤是把验证码作为cookie的一部分传给客户端。这样即使服务器销毁了$_SESSION['vcode'],攻击者也可以通过document.cookie获取到验证码,实现自动化暴力破解。

    Chrome浏览器的F12可以在Application的Cookie中看到这个验证码。

    验证绕过(on client)

    第一关 绕过步骤

  • 观察一下,用户名和密码输入错误值时,返回的提示是“验证码错误”;当验证码是正确值时,返回提示是“用户名或密码不存在”。

  • 右键查看网页源代码,发现果然前端有检验验证码的js脚本。

  • 将Burps Suite的Proxy模块抓到的这个报文发送到Intruder。

  • 按照以下步骤操作:

    • 第一个字典选择simple list,加载用户名字典。
    • 第二个字典选择simple list,加载密码字典。
    • 注意:由于用户名和密码可能包含特殊字符,这里建议勾选URL-Encode。
  • 点击Start attack开始爆破。完成后,按长度排序,果然能找到那三个用户名密码(排序前的前三个,长度和其他都不一样的)。

  • 一点思考

    事实再次证明,任何前端的校验对于防止安全攻击都是靠不住的!

    token防爆破

    第一关 绕过步骤

  • 首先还是观察~这关没有验证码,用户名或者密码输错会提示“用户名或密码不存在”。

  • 由于和token有关,我们用不一样的值登录两次,观察Burps Suite抓到的报文有什么区别。

  • 将Proxy模块抓到的两次登录报文发送到Comparer对比,确实两次的token不一样。

  • 将Proxy模块抓到的报文发送到Repeater,尝试以下方法:

    • (1) 不改动token,直接重放,返回提示csrf token error
    • (2) 尝试删除token,返回结果没有。
    • (3) 发现从网页源代码中可以看到一个hiddentoken标签,value和请求报文的token不一样,应该是下一个报文的token。
  • 将请求中的token值改为响应中的token值,再次发送,返回提示“用户名或密码不存在”,并且返回了下一次的token值。

  • 根据以上结果,下一次请求需要携带的token就是上一次响应中hidden字段的值。

  • 一点思考

    看来token对防暴破没啥用,因为总要让客户知道下一次用什么token的,因此总能被自动化工具获取。

    token的存在主要还是针对CSRF的。

    总之,像这样的验证方式根本无法阻止自动化工具突破。

    转载地址:http://iqun.baihongyu.com/

    你可能感兴趣的文章
    Nodejs process.nextTick() 使用详解
    查看>>
    NodeJS yarn 或 npm如何切换淘宝或国外镜像源
    查看>>
    nodejs 中间件理解
    查看>>
    nodejs 创建HTTP服务器详解
    查看>>
    nodejs 发起 GET 请求示例和 POST 请求示例
    查看>>
    NodeJS 导入导出模块的方法( 代码演示 )
    查看>>
    nodejs 开发websocket 笔记
    查看>>
    nodejs 的 Buffer 详解
    查看>>
    NodeJS 的环境变量: 开发环境vs生产环境
    查看>>
    nodejs 读取xlsx文件内容
    查看>>
    nodejs 运行CMD命令
    查看>>
    Nodejs+Express+Mysql实现简单用户管理增删改查
    查看>>
    nodejs+nginx获取真实ip
    查看>>
    nodejs-mime类型
    查看>>
    NodeJs——(11)控制权转移next
    查看>>
    NodeJS、NPM安装配置步骤(windows版本)
    查看>>
    NodeJS、NPM安装配置步骤(windows版本)
    查看>>
    nodejs下的express安装
    查看>>
    nodejs与javascript中的aes加密
    查看>>
    nodejs中Express 路由统一设置缓存的小技巧
    查看>>