dvwa靶场通关(一)

news/2024/10/30 9:29:33/

第一关:Brute force

low

账号是admin,密码随便输入

 用burp suite抓包

 爆破得出密码为password

 登录成功

 

Medium

中级跟low级别基本一致,分析源代码我们发现medium采用了符号转义,一定程度上防止了sql注入,采用暴力破解也可以完成,在此不过多描述。

 

high

与前面相比,多了一个token

 选择攻击位置和攻击方式

 线程设置为1,因为token,对于每一个包返回来的token值都是不一样的,所以我们只能选择单线程进行攻击

 

往下拉 

 Grep-Extract添加,搜索token

 重定向选择总是

 ​​​​​​​

负载1添加简单字典

 

 ​​​​​​​负载2类型为递归搜索,把第一个抓到的token复制到下面

 然后开始爆破攻击

 发送给repeater

 ​​​​​

 验证成功

 

 impossible

 这一关就是告诉我们怎么防范

 首先是用post方式传参,然后对输入进行转移处理,对登录次数也进行了限制,当用户登录失败达到3次,将会锁住账号15秒,同时采用了更为安全的PDO(PHP Data Object)机制防御sql注入,这里因为不能使用PDO扩展本身执行任何数据库操作,而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令。


http://www.ppmy.cn/news/78509.html

相关文章

【前端开发中常用的函数方法】

1、生成随机颜色 const generateRandomHexColor () > #${Math.floor(Math.random() * 0xffffff).toString(16)}console.log(generateRandomHexColor())2、数组重排序 // 对数组的元素进行重新排序是一项非常重要的技巧,但是原生 Array 中并没有这项功能。 con…

第六章 社会主义发展及其规律

一. 单选题(共40题,60分) 1. (单选题)全部马克思主义学说的核心和理论结论是( ) A. 科学社会主义 2. (单选题)科学社会主义的直接理论来源是( ) C. 19世纪初期以圣西门、傅立叶、欧文为代表的空想社会主义 3. (单选题)社会主义实现…

软考初级程序员上午单选题(13)

1、下列不能兼作输入设备和输出设备的是______。 A.可擦除型光盘 B.软盘 C.硬盘 D.键盘 2、文件型计算机病毒主要感染______。 A..TXT文件 B..GIF文件 C..EXE文件 D..MP3文件 3、_…

设计模式初探----工厂模式

1、简单工厂模式 概念 主要用于创建对象。用一个工厂来根据输入的条件产生不同的类,然后根据不同类的虚函数得到不同的结果。 应用场景 适用于针对不同情况创建不同类时,只需传入工厂类的参数即可,无需了解具体实现方法。 计算器中对于同…

springboot线程的用法以及配置详解

在 Spring Boot 中使用注解设置多线程,一般需要借助 Async 注解和 ThreadPoolTaskExecutor 类。 首先,需要在 Spring Boot 应用程序的主类上添加 EnableAsync 注解,该注解表示开启异步执行。 java SpringBootApplication EnableAsync publi…

Spring框架

Spring框架 版本历史核心功能模块控制反转容器(依赖注入)面向切面程序设计数据访问(DAO层支持)事务管理模型-视图-控制器(MVC)远程访问“约定大于配置”的快速应用开发 批处理相关链接参考资料 Spring框架…

【Leetcode hot 100】96. 不同的二叉搜索树

题目链接 思路 动态规划 题目是给定一个有序序列1,2,3…n, 我们需要求出一共有多少种构建二叉搜索树的方法。可以这样考虑:对每一个数字i,我们遍历它,以i为根节点,1…(i-1)为左子树,i1…n为右子树,接着我…

LeetCode——矩阵中移动的最大次数

目录 1、题目 2、题目解读 3、代码 1、题目 2684. 矩阵中移动的最大次数 - 力扣(Leetcode) 给你一个下标从 0 开始、大小为 m x n 的矩阵 grid ,矩阵由若干 正 整数组成。 你可以从矩阵第一列中的 任一 单元格出发,按以下方式遍…