678资源网致力于优质软件,活动线报,游戏辅助,绿色工具等资源共享,好货不私藏!
678资源网
当前位置:首页 > 技术教程

技术教程

DVWA Brute Force:暴力破解篇

时间:2020-12-31 00:00:59   作者:678资源网   来源:   阅读:108   评论:0

暴力破解+前言暴力破解是破解用户名和密码的常用手段。它主要是利用从信息中收集到的有用信息构建一个有针对性的弱密码字典,并通过爆炸网站获取用户的账号信息。有可能利用其职权进行一些非法操作。DVWA虽然是老射击场,但是题目还是挺友好的,对新手有帮助。现有的网站都是添加验证码和各种参数来防止蛮力破解,但是验证码可以被机器识别,可以构造各种参数。只要掌握了它的底层原理,还是可以用这种方法攻击的。

DVWA_Brute_Force:暴力破解篇

###低级+代码` ` PHP。((is _ object($ globals[" _ _ _ _ _ _ MySQL _ ston "])?MySQL _ error($ GLOBALS[" _ _ _ _ _ _ MySQL _ ston "]):($ _ _ _ _ _ _ MySQL _ RES = MySQL _ connect _ error())?$ _ _ _ _ _ _ MySQL _ RES:false))。' );


//可以发现只要查询语句可以查询结果,就可以输入这个if并成功登录if($ result & & MySQL _ num _ rows($ result)= 1){//getusersedails $ row = MySQL _ fetch _ assoc($ result);$ avatar = $ row[" avatar "];//登录成功回应" 欢迎来到密码保护区{$user} ";Echo "[图片]";} else { //登录失败回显" 用户名和/或密码不正确。 ";}((is _ null($ _ _ _ MySQL _ RES = MySQL _ close($ GLOBALS[" _ _ _ MySQL _ ston "])))?false:_ _ _ _ _ _ _ MySQL _ RES);} ?> ` `+


方法1:虽然主密码叫蛮力,但是第一题可以用SQL注入来做,而且很简单。看源代码不难发现,只要查询语句能够查询到结果,就可以登录成功。因此,施工说明如下。成功登录:![此处插入图片描述](https://img-blog.csdnimg.cn/20201230094325598.png?x-oss-process=image/watermark,type _ ZmFuZ3poZW5naGVpdGk,shadow_10,text _ ahr 0 CHM 6ly 9 ibg 9 nlmnzzg4 ubmv 0 l3r 1 emtpmtp,size_16,color_FFFFFF,T _ 70 # pic _ center)+关键代码解析` ` php //此代码要求result语句可以查询结果if($ result & & mysqli _ num _ rows($ result)= 1)$ query = " * select from ` users ` where user = ' $ user";


//在代码中注入admin '或' 1'='1 '后,得到如下查询语句:从' users '中选择*其中user =' admin '或' 1' =' 1 ',pass = ' $ pass ';


//这样,语句就被or分成了两部分。既然第一部分肯定可以查询结果,下面的语句不影响最终结果,所以我们不需要在数据库中匹配正确的密码,只要用户名正确,就可以成功注入` ###中级+代码` ` PHP。((is _ object($ GLOBALS[" _ _ _ _ MYS)MySQL _ error($ GLOBALS[" _ _ _ _ MySQL _ ston "]):($ _ _ _ _ MySQL _ RES = MySQL _ connect _ error())?$ _ _ _ _ _ _ MySQL _ RES:false))。'' );if($ result & & MySQL _ num _ rows($ result)= 1){//Get users details $ row = MySQL _ fetch _ assoc($ result);$ avatar = $ row[" avatar "];//登录成功回应" 欢迎来到密码保护区{$user} ";Echo "[图片]";}否则{ //登录失败


免责声明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!

相关文章

相关评论

本栏最新更新

本栏推荐

阅读排行