DVWA系列之11 Brute Force中的密码绕过
发表于:2025-12-03 作者:千家信息网编辑
千家信息网最后更新 2025年12月03日,下面来分析一下DVWA中的Brute Force暴力破解,在页面的文本框中输入用户名和密码,如果输入错误,会出现错误提示。正确的密码跟DVWA登录密码一样,都是password。正确输入的页面:所谓的
千家信息网最后更新 2025年12月03日DVWA系列之11 Brute Force中的密码绕过
下面来分析一下DVWA中的Brute Force暴力破解,在页面的文本框中输入用户名和密码,如果输入错误,会出现错误提示。
正确的密码跟DVWA登录密码一样,都是password。正确输入的页面:
所谓的暴力破解,就是在不知道密码的情况下,通过软件挨个密码进行尝试,从而最终将密码破解出来。
我们还是先选择low级别,查看一下源码。
有了之前的基础,很容易就可以发现这段代码中存在SQL注入漏洞,问题就出在下面这行语句:
$qry = "SELECT * FROM `users` WHERE user='$user' AND password='$pass';"; |
比如我们输入用户名"admin' or 'a'='a",那么无论输入什么密码都可以正常登录,这就是经典的密码绕过漏洞。
原理其实很简单,只要将那段用户名代入到代码中就可以理解了。
$qry = "SELECT * FROM `users` WHERE user='admin' or 'a' = 'a' AND password='$pass';"; |
因为了有了"or 'a' = 'a'"的存在,所以后面的"AND password='$pass'"密码验证根本就没有发挥作用。
密码
输入
用户
用户名
代码
就是
暴力
漏洞
错误
页面
登录
作用
原理
基础
密码破解
情况
文本
根本
源码
级别
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
腾讯云服务器 管理平台
三桥租房软件开发
上海智行合力网络技术有限公司
数据库名称不一样登录不了
access 做营销数据库
黑客攻击软件改数据库贵吗
数据库删论文
网络安全笔记100
光纤网络技术员工作内容
会员数据库对企业的作用
代理服务器ip地址在线
抱团取暖软件开发
谈数据库关系的性质
上海pdu服务器专用电源种类
简单的数据库管理系统设计
网络安全宣讲会主要内容
网络安全风险月报
数据库管理系统是哪类软件
徐汇区品牌软件开发销售电话
labviewz自带数据库
sql数据库无法删除
制作一台ntp时间同步服务器
最终幻想觉醒 数据库
软件开发特招班
传奇手游清除数据库
美国两党网络安全法案
remium同步数据库
长沙雨花软件开发
东莞pc软件开发常见问题
GO数据库与NR数据
