当前位置：首页 > article >正文

DVWA靶场通关指南之爆破（Brute Force）篇-中难度（Medium）

article 2026/5/9 2:56:14

一、Brute Force 简介在 DVWA 中Brute Force 模块主要用于演示暴力破解的过程。暴力破解是通过尝试所有可能的密码组合来获取正确密码的一种攻击方式。二、复现过程1.原理中难度增加了一定的限制比如在一定时间内多次尝试错误密码后会进行短暂的封禁。?php// 判断是否通过GET方式提交了登录请求点击登录按钮触发if(isset($_GET[Login])){// 获取前端输入的用户名$user$_GET[username];// 对用户名进行SQL特殊字符转义防御SQL注入漏洞$user((isset($GLOBALS[___mysqli_ston])is_object($GLOBALS[___mysqli_ston]))?mysqli_real_escape_string($GLOBALS[___mysqli_ston],$user):((trigger_error([MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.,E_USER_ERROR))?:));// 获取前端输入的密码$pass$_GET[password];// 对密码进行SQL特殊字符转义防御SQL注入漏洞$pass((isset($GLOBALS[___mysqli_ston])is_object($GLOBALS[___mysqli_ston]))?mysqli_real_escape_string($GLOBALS[___mysqli_ston],$pass):((trigger_error([MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.,E_USER_ERROR))?:));// 将密码进行MD5哈希处理$passmd5($pass);// 拼接查询SQL验证用户名和密码是否匹配$querySELECT * FROM users WHERE user $user AND password $pass;;// 执行SQL语句$resultmysqli_query($GLOBALS[___mysqli_ston],$query)ordie(pre.((is_object($GLOBALS[___mysqli_ston]))?mysqli_error($GLOBALS[___mysqli_ston]):(($___mysqli_resmysqli_connect_error())?$___mysqli_res:false))./pre);// 判断是否查询到1条有效用户记录登录成功if($resultmysqli_num_rows($result)1){// 获取用户信息$rowmysqli_fetch_assoc($result);$avatar$row[avatar];// 登录成功输出欢迎信息和头像echopWelcome to the password protected area {$user}/p;echoimg src\{$avatar}\ /;}else{// 暴力破解防护核心代码 // 登录失败时强制延迟2秒再响应sleep(2);// 极大降低暴力破解速度防御字典爆破、密码喷洒// // 输出登录失败提示echoprebr /Username and/or password incorrect./pre;}// 关闭数据库连接((is_null($___mysqli_resmysqli_close($GLOBALS[___mysqli_ston])))?false:$___mysqli_res);}?2.步骤打开 DVWA 的 Brute Force 模块进入中难度级别。打开Burp suite工具进行抓包在Brute Force 任意输入账号密码非正确(admin/123456)成功抓到请求包右击转发到Intruder模块重复low等级操作由于Medium 增加 sleep(2)限制区别是每一次登录失败后会延时2s在资源池进行配置并发请求数设置为 1即单线程串行发送请求。这是延时注入的关键配置确保每次仅一个请求在处理响应时间不会被并发请求干扰。请求间隔设置为 3000ms固定延迟即每次请求之间等待 3 秒。该设置可降低请求频率。进行运行获得正确账号密码admin/password申明本博客所分享的内容仅用于网络安全技术的探讨与交流严禁将其用于任何违法途径。所有涉及的渗透测试行为都必须事先获得合法授权若有违反产生的一切后果均由使用者自行承担与本账号及作者毫无关联。请务必时刻牢记遵守法律法规。

DVWA靶场通关指南之爆破（Brute Force）篇-中难度（Medium）

相关文章：

DVWA靶场通关指南之爆破（Brute Force）篇-中难度（Medium）

Python新手入门：从Hello-Python项目到高效学习路径

ARM MPAMv2架构解析：硬件隔离与虚拟化扩展

AI与数据库协同工作负载编排技术解析

c#插入排序

酒店住宿业数字化解决方案：从预订到客房的全链路技术实践

用二级指针实现字符串数组

AI代码巫师：基于OpenClaw的智能编程技能设计与实战

Redis--集群搭建与主从复制原理

低轨卫星网络中的Web服务韧性优化与辐射感知路由技术

C++编写的项目案例有哪些？

relic.skill：基于四维架构与本地化AI的数字记忆保存实践

【ROS2实战笔记-15】ros2bag 的深度应用：从数据回放到系统级离线分析

2026年885nm窄带滤光片将有何新突破？背后奥秘等你揭晓

基于MCP协议的保险核保智能体：架构设计与工程实践

DELTA-OPR300血氧信号发生器：脑机接口血氧模块精准测试设备

WebMCP：构建统一AI模型网关，实现多LLM服务标准化调用

基于Scallop框架的智能对话机器人：神经符号AI的工程实践

美国出行距离数据集分析报告-2019年国家级人口流动与出行行为统计数据

2026.5月购机指南：性能强的游戏本五款重点推荐，ROG独占超一线性价比

数据倾斜的各种原因及处理方案

工厂停产1小时亏8万？AI+软件集成，设备故障提前预警，停产零损失

vue.js 课程自己编写小游戏

聚焦：Perfect Corp. 利用 NVIDIA TensorRT 和 NVENC 实现个性化的数字化美妆体验

AI大模型赋能财务小白：提升效率与风险防控收藏指南

2026年论文格式全攻略！GB/T 7713.1新国标解读+排版实战指南

DFT计算如何分析电子转移？

Figma中文界面插件：让全球顶尖设计工具真正为你所用

MacBook Touch Bar Windows驱动完全指南：解锁跨系统触控交互的终极方案

第7章：流量获取与粉丝冷启动 /《程序员AI时代实现直播知识付费实现月入100万的落地详细实战方案》