Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码

5.2 步骤

实现此案例需要按照如下步骤进行。

1)设置DVWA的安全级别为Low级别,如图-25所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第1张图片

图-25

2)点击“Brute Force”,进入暴力破解测试页面,如图-26所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第2张图片

图-26

3)在宿主机配置火狐浏览器代理127.0.0.1,端口8080,如图-27所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第3张图片

图-27

4)任意输入用户名和密码登录,例如用户名tedu、密码123456,如图-28所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第4张图片

图-28

5)在Burp Suite的“Proxy”中设置“Intercept is on”,就会拦截到数据,右击后选择菜单“Send to Intruder”,发送数据到Intruder(入侵)模块,如图-29所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第5张图片

图-29

6)点击“Intruder”标签,然后点击“Positions”标签,如图-30所示。可以看到,已经将所有可爆破的参数标识出来了。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第6张图片

图-30

7)我们只需要爆破username和password就可以,所以先点击“Clear $”按钮,然后选择”tedu”和”123456”,点击“Add $”按钮,如图-31所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第7张图片

图-31

8)我们需要爆破username和password两个参数,所以在Attack type(攻击模式)中选择Cluster bomb(集束炸弹),即需要两个字典,如图-32所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第8张图片

图-32

9)点击“Payloads”,为参数设置字典。第一个参数username,用户名一般就是root、admin或administrator,将它们依次加入,如图-33所示。

图-33

10)第二个参数password,我们需要一个密码字典。可以从网络上下载特定的字典,也可以根据实际情况自己制作密码字典。这里为了方便演示,我们采用某安全公司放出的最常用的一个密码清单,如图-34所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第9张图片

图-34

在“Payload set”中选择“2”,然后点击“Load...”按钮载入密码字典文件,如图-35和图-36所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第10张图片

图-35

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第11张图片

图-36

11)设置好用户名和密码参数后,点击右上角的“Start attack”开始爆破,如图-37所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第12张图片

图-37

12)爆破结束后,查看“Length”字段,有一个与众不同的,就是我们想要的结果,即用户名admin、密码password,如图-38所示。

Web暴力破解: DVWA设置安全级别为Low 使用Burp Suite 暴力破解用户名和密码_第13张图片

图-38

你可能感兴趣的:(安全,WEBSEC)