DVWA之暴力破解攻击方法,审计,解决办法

一、攻击方法

1.先随意输入账号和密码
在这里插入图片描述
2.用Burnsuite抓包并传到intruder中
在这里插入图片描述
在这里插入图片描述
3.清除变量 并将username和password添加为新变量
在这里插入图片描述
在这里插入图片描述

4.选择Cluster bomb方式 在payloads中导入字典
在这里插入图片描述
payload 1 2都导入相同的即可
在这里插入图片描述
点击start attack 开始暴力破解
在这里插入图片描述
5.结束后 筛选length
在这里插入图片描述
拿到账号:admin
密码:password

6.登陆成功
在这里插入图片描述

二、代码审计:

<?php

if( isset( $_GET[ 'Login' ] ) ) {
    // Get username
    $user = $_GET[ 'username' ];

    // Get password
    $pass = $_GET[ 'password' ];
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    if( $result && mysqli_num_rows( $result ) == 1 ) {
        // Get users details
        $row    = mysqli_fetch_assoc( $result );
        $avatar =
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值