温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

DVWA学习篇一:暴力破解

发布时间:2020-07-26 07:59:19 来源:网络 阅读:1029 作者:老鹰a 栏目:安全技术

1      测试环境介绍

 

1、使用Burpsuit工具进行暴力破解

2、测试环境为OWASP环境中的DVWA模块

 

2      测试步骤

2.1  设置浏览器代理

首先运行Burpsuit工具,设置监听地址和端口,然后在浏览器里面设置好代理IP和地址。如下图:

DVWA学习篇一:暴力破解

DVWA学习篇一:暴力破解


2.2  抓取登陆页面数据

开启Burpsuit拦截功能,抓取登陆页面登陆账号和密码,这个密码实际是错误的,后面我们需要爆破的就是这个密码。

DVWA学习篇一:暴力破解

2.3  发送到***模块(Intruder模块)

在刚刚拦截到的请求页面右击选择发送到***模块中去。

 

DVWA学习篇一:暴力破解

2.4  ***模块设置参数

选择Intruder菜单进入***模块,点击“Position”,然后点击右侧的“clear$”把所以参数都清楚掉,选择usernamepassword字段,然后点击”Add$”,这表明后面只需要包括这两个字段,如果要爆破多个字段内容,一样的操作方法。

DVWA学习篇一:暴力破解

选择***模式,选择“cluster bomb”

DVWA学习篇一:暴力破解

2.5  设置***字典

点击“payloads”菜单进入设置***字典,***字典密码可以通过一个个的添加密码,也可以加载密码字典。Payload set列的1表示是username字段内容,2表示是password字段内容,这个顺序是根据前面positions设置的参数的顺序决定的。 

DVWA学习篇一:暴力破解

DVWA学习篇一:暴力破解

2.6  开始***

点击“start attack”进行***。***后会弹出一个窗口。

DVWA学习篇一:暴力破解

2.7  ***结果分析

从结果分析出length字段有一行的值跟其他行的值是不一样的,那么那个不一样的就是最终的结果,也就是本测试中的5075值的行是正确的密码,密码是admin。爆破成功。

DVWA学习篇一:暴力破解

 


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI