一、暴力破解
可通过bp抓包来破解。随便输入,抓包得:
将其发送到intruder
点击clear清除所有变量,并在username和password后面添加变量
并将attack type的值设置为cluster bomb
在payloads选择中分别给payload 1和payload 2添加字典
然后点击右上方的start attack
最终长度不一样的payload 1和payload 2就是用户和密码。
二、命令注入
命令连接符
command1 && command2 先执行command1后执行command2
command1 | command2 只执行command2
command1 & command2 先执行command2后执行command1
在DVWA-master\dvwa\includes目录下找到dvwaPage.inc.php文件,将所有的”charset=utf-8”修改为”charset=gb2312”,可将utf-8转化为简体中文(gb2312)。
输入ip
输入ip && dir
