Burpsuite之dvwa暴力破解

Burpsuite之dvwa暴力破解

(本实验是在安全等级为low的基础之上进行的)

1.以dvwa安装成功为背景,打开phpstudy,启动Apache和Mysql。(这里使用的是新版的phpstudy<小皮面板>,老版的直接开启即可)
Burpsuite之dvwa暴力破解
2.火狐登录访问127.0.0.1/dvwa登录dvwa,这里的账号为admin,密码为password,进入暴力破解(Brute Force)界面,账号admini,随意输入一个密码,这里假设为121,这里出现了一个小插曲,Burpsuite无法拦截到dvwa的包。
Burpsuite之dvwa暴力破解
解决方法:火狐浏览器新打开一个网页,搜索about:config,发现有许多选项,搜索“network.proxy.allow_hijacking_localhost”,将其改为true.

3.此时可以看到如下图所示
Burpsuite之dvwa暴力破解
4.点击右键,send to intruder,在intruder下的positions可以看到我们想要破解的信息,clear , 然 后 选 中 p a s s w o r d , 点 击 a d d ,然后选中password,点击add ,然后选中password,点击add,接着进行Payloads,添加可能的密码进行暴力破解
Burpsuite之dvwa暴力破解
5.正常情况下观察发现length只有一个不一样的,那个就是我们的密码。此时我们并没有看到想要的结果,发现是302报错,貌似是安全性问题,于是在dvwa里设置安全性将安全性级别降为low即可。Burpsuite之dvwa暴力破解

拓展

这里我们破解账号密码,前面造作都是大同小异,这一步时选type
Burpsuite之dvwa暴力破解
接下来不同的是需要选择payload set,填写账号密码
Burpsuite之dvwa暴力破解

破解成功Burpsuite之dvwa暴力破解

上一篇:二、DVWA之File Inclusion


下一篇:B站 程序学习的 黑客攻防 - 记录