DVWA——Brute force(low)

Brute force

界面：

源代码：

'.mysql_error().'

'); if($result&&mysql_num_rows($result)==1){ //Getusersdetails $avatar=mysql_result($result,0,"avatar"); //Loginsuccessful echo"

Welcometothepasswordprotectedarea{$user}

"; echo""; } else{ //Loginfailed echo"

Usernameand/orpasswordincorrect.

"; } mysql_close(); } ?>

代码分析：
        获取到”Login”表单提交的“Username”和“Password”，并对password进行md5校验，然后去数据库查询是否存在输入的账户以及对应的密码，若存在则输出“Welcome to the password protected area”；若不存在则输出“Username and/or password incorrect.”；

渗透步骤：
       第一步：使用burp suite抓包，在DVWA上输入正确的账户名：admin，错误的密码：123，点击提交，burp suite抓到流量包。

       第二步：将抓到的包放入intruder模块

       第三步：进入intruder模块的Positions，设置需要爆破的地方（先clear，再将password后面的字段123选择，点击add）

       第四步：进入intruder模块的Payloads，从Add from list下拉框选择password进行爆破，在Payload Sets一栏可以看到有3425条数据，可以考虑使用多线程进行同时爆破。

       第五步：进入intruder模块的Options，设置线程数为50，然后点击右上角的Start attack，开始爆破。

       第六步：查看结果，通过筛选length，发现password的length最长，查看response，发现出现了“welcome”结果，爆破成功

对于low等级的这道题，还可以采用sql注入的方式进行渗透

       第一步：查看源代码，发现数据库查询语句没有任何的保护，可以通过构造‘闭合数据库查询语句，进行登录
       第二步：在Username一栏输入admin’ or ‘1’=’1，将sql查询语句构造成：SELECT * FROM ‘users’ WHERE user = ‘admin’ or ‘1’=’1’ AND password =’’；由于or将1=1与password置为同一侧，1=1满足为真就不用去查询密码了


       第三步：在Username一栏输入：admin’ #，将sql语句构造成：SELECT * FROM ’users‘ WHERE user = ‘admin’ # AND password =’’。由于#后面的相当于注释，即改变了查询方式，有正确的用户名就能登陆进去。

遇到的问题

       1、无法使用burp suite抓取到本地的流量包
解决方法：将地址栏的localhost修改为本机ip
修改前：
修改后：

       2、DVWA无法真正修改等级，将等级设置为low后抓的包显示为impossible
解决方法：关闭当前的浏览器，使用chrome的无痕浏览模式访问DVWA
       3、将target里的port改为和代理相同的8080后，爆破的结果不对，将port改为80后，爆破结果正确。