dvwa_Brute Force(暴力破解) _Medium

dvwa_Brute Force(暴力破解) _Medium

首先,进入DVWA Security 改impossible为Medium并提交。返回Brute Force

 点击View Source,发现与low的区别在于引入mysqli_real_escape_string这条函数

 mysqli_real_escape_string函数:转义在SQL语句中使用的字符串的特殊字符

语法:mysqli_real_escape_string(connection,escapestring):

       connection:规定要使用的MySQL连接

        escapestring:要转义的字符串。编码的字符是NUL(ASCII 0)、\n、\r、\、’、”和Control-z

返回值:返回已转义的字符

此时,Username输入admin’ or’1’=’1(无需密码)已不起作用,需用BURPSUITE(简称:BURP)来暴力破解

1、打开burp,设置手动代理服务器

2、Brute Force:做一次登录(随意输密码)

3、Burp的Proxy窗口,可捕捉到账号,密码和login

4、点击action下的Send to Intuder发送到 Intuder

 5、进入Intuder界面,点击clear清理掉选择框

 6、选择密码(123456)部分,点击add

7、法一:进入Payloads,选择 Payload type为Simple list

     (1)、下方Payload Option的add傍边的框内输入你认为可以的密码回车(或点击add)后再输第二个、第三个......

      (2)、点击右上方的Start attack,等待界面运行。运行结束后可通过对比Length列的值,得到正确的密码

     (3)、通过Response的Render窗口可以确认密码是正确的

 7、法二:进入Payloads,选择 Payload type为Runtime list

     (1)、下方Payload Option的Selsct file傍边的框内输入自己创建的密码本文本文档

 (2)、点击右上方的Start attack,等待界面运行。运行结束后可通过对比Length列的值,得到正确的密码

 8、在Brute Force用得到的密码重新做一次登录进行验证

 

### DVWA Brute Force 暴力破解 实验教程 #### Low 和 Medium 级别暴力破解 对于低级别和中级别的暴力破解,由于这些级别的防护措施较为简单,可以利用工具如Burp Suite来进行自动化攻击。具体来说: - **Low Level**: 这一等级几乎没有任何安全机制来阻止暴力破解尝试。用户名和密码通过HTTP GET请求发送,并且没有验证码或登录失败后的延迟处理。因此,使用Burp Intruder模块并加载常用弱口令列表可以直接发起大量猜测尝试[^4]。 ```bash # 使用 Burp Suite 的步骤如下: 1. 启动浏览器代理设置指向本地监听端口8080; 2. 访问DVWA网站并通过拦截功能捕获登录表单提交的数据包; 3. 将数据包转发至Intruder面板配置参数位置(通常为username和password字段); 4. 加载预定义的字典文件作为payload选项; 5. 开始攻击过程观察返回结果寻找有效凭证组合。 ``` - **Medium Level**: 中级增加了简单的防御手段——每当验证不成功时会触发`sleep(2)`函数使响应时间延长两秒钟。尽管如此,这并不会显著影响实际操作中的成功率;只需耐心等待每次迭代完成即可继续测试其他候选值[^2]。 #### High 和 Impossible 级别暴力破解 随着保护强度增加到了高级阶段,则引入了更复杂的逻辑用于检测异常行为模式以及采取相应对策加以遏制潜在威胁活动的发生频率及其效率表现形式上有所区别于之前所描述过的简易型方案设计思路框架结构特点方面存在差异之处在于: - **High Level**: 此处不仅限定了最大重试次数还加入了基于IP地址白名单管理策略从而进一步提升了整体安全性水平线以上述两点为核心要素构建而成的一套综合性的访问控制体系架构模型实例化应用案例研究对象之一即为此版本下的用户认证流程环节部分实现细节说明文档记录内容摘要概述。 - **Impossible Level**: 几乎无法被传统意义上的穷举法攻破。该层面上除了继承自高阶版的安全特性外更是额外集成了诸如图形验证码之类的交互式组件用来增强人工干预成分比例进而达到更好的防伪效果目的所在[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值