Burpsuite之dvwa暴力破解

（本实验是在安全等级为low的基础之上进行的）

1.以dvwa安装成功为背景，打开phpstudy，启动Apache和Mysql。（这里使用的是新版的phpstudy<小皮面板>，老版的直接开启即可）

2.火狐登录访问127.0.0.1/dvwa登录dvwa，这里的账号为admin，密码为password，进入暴力破解（Brute Force）界面，账号admini,随意输入一个密码，这里假设为121，这里出现了一个小插曲，Burpsuite无法拦截到dvwa的包。

解决方法：火狐浏览器新打开一个网页，搜索about:config，发现有许多选项，搜索“network.proxy.allow_hijacking_localhost”，将其改为true.

3.此时可以看到如下图所示

4.点击右键，send to intruder，在intruder下的positions可以看到我们想要破解的信息，clear , 然 后 选 中 p a s s w o r d ， 点 击 a d d ,然后选中password，点击add ,然后选中password，点击add，接着进行Payloads，添加可能的密码进行暴力破解

5.正常情况下观察发现length只有一个不一样的，那个就是我们的密码。此时我们并没有看到想要的结果，发现是302报错，貌似是安全性问题，于是在dvwa里设置安全性将安全性级别降为low即可。

拓展

这里我们破解账号密码，前面造作都是大同小异，这一步时选type

接下来不同的是需要选择payload set，填写账号密码

破解成功