DVWA漏洞源码分析——(一)Brute Force
Brute Force(爆破)
爆破的原理:
爆破也叫暴力破解,原理便是攻击者使用自己收集或者制作的账户名和密码字典,对某一登录处进行枚举,尝试登录。只要字典足够大,没有一些防止爆破的限制,一般可以采用爆破方式进行爆破登录,下面便尝试用dvwa靶场来尝试这个爆破登录的漏洞
漏洞复现:
打开dvwa,级别调为low之后选择brute fore
源码分析:
打开源码,分析源码内容
这段源码的意思是get传参$user和$pass,而这里还有就是传进来的参数会转成md5的格式,执行mysql语句查询数据库,验证账号和密码是否正确
打开burp,进行抓包暴力破解
burp有四种暴力破解类型:
sniper:一个字典,两个参数,先匹配第一项在匹配第二项
Battering ram:一个字典,两个参数,同用户名同密码
Pitchfork:两个字典,两个参数,同行匹配,段的截至
Cluster bom