Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码

5.2 步骤

实现此案例需要按照如下步骤进行。

1）设置DVWA的安全级别为Low级别，如图-25所示。

图-25

2）点击“Brute Force”，进入暴力破解测试页面，如图-26所示。

图-26

3）在宿主机配置火狐浏览器代理127.0.0.1，端口8080，如图-27所示。

图-27

4）任意输入用户名和密码登录，例如用户名tedu、密码123456，如图-28所示。

图-28

5）在Burp Suite的“Proxy”中设置“Intercept is on”，就会拦截到数据，右击后选择菜单“Send to Intruder”，发送数据到Intruder（入侵）模块，如图-29所示。

图-29

6）点击“Intruder”标签，然后点击“Positions”标签，如图-30所示。可以看到，已经将所有可爆破的参数标识出来了。

图-30

7）我们只需要爆破username和password就可以，所以先点击“Clear $”按钮，然后选择”tedu”和”123456”，点击“Add $”按钮，如图-31所示。

图-31

8）我们需要爆破username和password两个参数，所以在Attack type（攻击模式）中选择Cluster bomb（集束炸弹），即需要两个字典，如图-32所示。

图-32

9）点击“Payloads”，为参数设置字典。第一个参数username，用户名一般就是root、admin或administrator，将它们依次加入，如图-33所示。

图-33

10）第二个参数password，我们需要一个密码字典。可以从网络上下载特定的字典，也可以根据实际情况自己制作密码字典。这里为了方便演示，我们采用某安全公司放出的最常用的一个密码清单，如图-34所示。

图-34

在“Payload set”中选择“2”，然后点击“Load...”按钮载入密码字典文件，如图-35和图-36所示。

图-35

图-36

11）设置好用户名和密码参数后，点击右上角的“Start attack”开始爆破，如图-37所示。

图-37

12）爆破结束后，查看“Length”字段，有一个与众不同的，就是我们想要的结果，即用户名admin、密码password，如图-38所示。

图-38