dvwa靶场通关(一)

news/2024/6/23 20:18:18

第一关:Brute force

low

账号是admin,密码随便输入

 用burp suite抓包

 爆破得出密码为password

 登录成功

 

Medium

中级跟low级别基本一致,分析源代码我们发现medium采用了符号转义,一定程度上防止了sql注入,采用暴力破解也可以完成,在此不过多描述。

 

high

与前面相比,多了一个token

 选择攻击位置和攻击方式

 线程设置为1,因为token,对于每一个包返回来的token值都是不一样的,所以我们只能选择单线程进行攻击

 

往下拉 

 Grep-Extract添加,搜索token

 重定向选择总是

 ​​​​​​​

负载1添加简单字典

 

 ​​​​​​​负载2类型为递归搜索,把第一个抓到的token复制到下面

 然后开始爆破攻击

 发送给repeater

 ​​​​​

 验证成功

 

 impossible

 这一关就是告诉我们怎么防范

 首先是用post方式传参,然后对输入进行转移处理,对登录次数也进行了限制,当用户登录失败达到3次,将会锁住账号15秒,同时采用了更为安全的PDO(PHP Data Object)机制防御sql注入,这里因为不能使用PDO扩展本身执行任何数据库操作,而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令。


https://www.xjx100.cn/news/344535.html

相关文章

Android 12.0默认开启无障碍服务权限和打开默认apk无障碍服务

1.概述 在12.0的系统rom定制化开发中,在第三方app开发中,需要开启无障碍服务功能,就不需要在代码中开启无障碍服务了, 为了简便就需要在系统中开启无障碍服务,来实现开启无障碍服务功能 2. 默认开启无障碍服务权限和打开默认apk无障碍服务核心代码 frameworks/base/core…

GDB调试工具

GDB(GNU Debugger)是一个功能强大的命令行调试工具,用于调试 C、C 程序以及其他编程语言的程序。它是 GNU 项目的一部分,可在多个操作系统上使用,包括 Linux、macOS 和 Windows(通过 MinGW 或 Cygwin&#…

Tomcat服务器、Servlet生命周期、上传下载文件、使用XHR请求数据、注解使用

文章目录 Servlet认识Tomcat服务器使用Maven创建Web项目创建Servlet探究Servlet的生命周期解读和使用HttpServletWebServlet注解详解使用POST请求完成登陆上传和下载文件下载文件上传文件 使用XHR请求数据重定向与请求转发重定向请求转发 ServletContext对象初始化参数 Servlet…

面试题基础篇

文章目录 1、二分查找2、冒泡排序3、选择排序4、插入排序5、希尔排序6、快速排序7、ArrayList8、Iterator9、LinkedList10、HashMap10.1、基本数据结构底层数据结构,1.7和1.8有什么不同? 10.2、树化与退化为何要用红黑树,为何一上来不树化&am…

蓝精灵协会:如何将传统 IP 融入 Web3

作者:Cedric Hervet,联合创始人,创意总监 我和许多项目合作过,并且担任了近 30 年的艺术总监和创意总监。我的方法一直是创造同质化的宇宙,把观众带入并使他们产生梦想。但我也曾系统地寻找过那份额外的感动&#xff1…

使用JMeter+Grafana+Influxdb搭建可视化性能测试监控平台

【背景说明】 使用jmeter进行性能测试时,工具自带的查看结果方式往往不够直观和明了,所以我们需要搭建一个可视化监控平台来完成结果监控,这里我们采用三种JMeterGrafanaInfluxdb的方法来完成平台搭建 【实现原理】 通过influxdb数据库存储…

操作系统第三章——内存管理(中)

九月重楼二两,冬至蝉蜕一钱,煎入隔年雪煮沸,可治人间相思苦疾, 可是,重楼七叶一花,冬日何来蝉蜕,原是相思无解 殊不知 夏枯即为九叶重楼,掘地三尺寒蝉现,除夕子时雪&…

塞尔达工业革命卷到数字电路了!网友:怕不是要在Switch里造Switch

量子位 | 公众号 QbitAI 《塞尔达传说:王国之泪》发布一周多,懂物理的和不懂物理的都沉默了。 如果说,一个打怪靠冷兵器的救公主游戏,主角开上带悬挂的摩托车,还不算稀奇: △B站up主:天舐鱼XQ…