【暴力破解】dvwa

dvwa暴力破解练习

1.low

首先进行抓包，将包发送到intruder，然后对用户及密码进行暴力破解，成功。

Mid

在low的基础上添加了一定的时延，不适合大量字典，但是爆破方式与low相同。

High

点击进表单页面抓包包1，放掉之后再输入用户名密码抓一个，得到带有token的包，包2。包1response位置的token与包2中的token值相同。
1.定义宏：选择包1中的参数及值
2.定义执行宏的规则：更新值及发生的页面
3.cluster bomb用户名及密码，单线程爆破token。

但是与之前pikachu不同：

这里我所用的方法是在pikachu的token中的方法，但是却出现了302重定向的问题，遂找解决方法：
应该是我的scope中添加的url携带参数（因为我forward掉我抓的包2），应该将参数去掉。
成功：