DVWA——暴力破解

虚拟机安装运行phpstudy，作为服务器，物理机打开设置了代理的火狐浏览器

---

安全级别——LOW

一、配置

①输入虚拟机IP/dvwa进入如下界面

②登录

③选择最低级、保存

④查看源代码

这里不方便查看 用notepad打开

⑤源码分析

针对用户输入的用户名和密码，服务器没有进行过滤操作，低级的策略没有任何的防爆破机制，账户密码策略，更存在着明显的sql注入漏洞

二、实验

1、burpsuite打开监听

2、浏览器输入用户名admin，密码随意，对数据包进行拦截

3、将获取到的数据包导入intruder

导入后红框内的intruder也会变亮

4、清空参数

因为需要改变的参数只有账户密码，所以清空所有的参数标志，再给账户密码加上参数标志即可

Clear $

Add $

5、攻击方式：

四种暴力破解方式的区别：

   一个字典，两个参数，先匹配第一项，再匹配第二项【sniper】

   一个字典，两个参数，同用户名同密码【battering ram】

   两个字典，两个参数，同行匹配，短的截止【pitch fork】

   两个字典，两个参数，交叉匹配，所有可能【cluster bomb】

6、第一种攻击方式

①添加字典，开始字典爆破

②爆破

长度不一样的这项可能就是账户密码

       ③尝试用爆破出来的账户密码登录

     

       允许转发后成功登陆

7、第四种爆破方式

设置账户参数列表

设置密码参数列表

攻击

8、尝试sql注入的方式登录 

①admin' or '1'='1

出现如下界面

 

暂未找到火狐浏览器拦截该界面的原因，更换google尝试操作

Google浏览器登录成功

 

②admin’#

 

---

安全级别——medium

①查看源代码：

②源码分析

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符；使用该函数，基本预防了sql注入，但是没有加入有效的防爆破机制；

③实验

       Sql注入失败：

      

       爆破过程与low级别一致

---

安全级别——high

①查看源代码

②源代码分析

·mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符；

·stripslashes() 函数删除由 addslashes() 函数添加的反斜杠，可用于清理从数据库中或者从 HTML 表单中取回的数据

·爆破难度更大

③实验过程

要求我们发送的每个请求包中包含随机生成的token值

---

安全级别——impossable

①查看源代码

②源代码分析

Impossible级别的代码加入了可靠的防爆破机制，当检测到频繁的错误登录后，系统会将账户锁定，爆破也就无法继续；

同时采用了更为安全的PDO（PHP Data Object）机制防御sql注入，这是因为不能使用PDO扩展本身执行任何数据库操作，而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令；