关于dvwa万能密码的问题解决 – 作者:Johnson666

关于dvwa万能密码的问题解决

1、Brute Force下的结果及原因

1.1、结果

1.2、原因

在Brute Force源码中用红笔括号起来的代码表示从数据库中得到的结果只有一条才符合条件
而在数据库中查询图一中的username有不止一条结果符合，查询到超过一条结果，所以图一错误

在数据库中查询图二中的username只有一条结果符合，所以图二正确

2、login.php登录界面的结果及原因

2.1、结果

2.2、原因

在login.php源码中用红笔括号起来的代码表示从数据库中得到的结果只要非0就符合条件

3、总结

不同的网站有不同的过滤机制，像这里dvwa的登录界面和Brute Force的过滤机制就不一样了。虽然都是通过mysql_num_rows这个函数查询数据库结果并返回，但是一个是==1，一个是!==0，这就导致结果存在差异。

还有其中的admin or 1 or 1会查询所有结果，而admin or 1=1，admin or 1只返回admin一个结果。

来源：freebuf.com 2021-02-27 18:44:20 by: Johnson666