就是dvwa练习的第一个项暴力破解。
第一方面我们普及一下怎么判断可以暴力破解:简单来说就是几个字,用户和密码可以多次输入。复杂来讲就是这个链接:没有找到讲这个,那么我这个二把刀就来讲一下:看它登录页面就只有账号,密码。
接下来讲一下dvwa里面四个等级的解析,
low级,简称白痴级别,官方给的英文为以下:The developer has completely missed out any protections methods, allowing for anyone to try as many times as they wish, to login to any user without any repercussions.
就是说没有任何限制,可以进行无穷枚举。所以使用burp的intrude填写好名字与密码随便破解。
第二个等级m级。简称有点思考级别,官方英语为以下:
This stage adds a sleep on the failed login screen. This mean when you login incorrectly, there will be an extra two second wait before the page is visible.
This will only slow down the amount of requests which can be processed a minute, making it longer to brute force.
什么意思呢?就是说在错误的时候延缓你再次试密码的时间,所以然并卵。使用burp的intrude,填写好用户和密码随便破解。
补充小知识:暴力字典生成器
GitHub上的:
https://github.com/danielmiessler/SecLists/tree/master/Passwords/Leaked-Databases
https://github.com/duyetdev/bruteforce-database
第三个级别H级,简称还可以级别,官方英语如下:
There has been an "anti Cross-Site Request Forgery (CSRF) token" used. There is a old myth that this protection will stop brute force attacks. This is not the case. This level also extends on the medium level, by waiting when there is a failed login but this time it is a random amount of time between two and four seconds. The idea of this is to try and confuse any timing predictions.
Using a CAPTCHA form could have a similar effect as a CSRF token.
就是说使用了token值来防范csrf攻击,每一个用户和密码都有独立的token值,这里就需要把后台返回的token值写到攻击里面,这里有两种方法,第一种还是使用burp的intrude,只不过再多填一个值,具体参考方法是这个:https://blog.csdn.net/liweibin812/article/details/86287645
另外一种就是自己写py脚本,教程是这个:(两种你喜欢哪种就使用哪种,但是我建议使用第二种,应为搞起来不是点点的白痴级别是需要一定编程能力的。淦,激活码版权审核通不过。那就只有自己找)。
第四个级别I级,简称爸爸级别。实际中能搞出来你就可以去al搞安全专家了。所以加油。
加一篇通关教程:https://www.cnblogs.com/v1vvwv/p/DVWA-Brute-Force.html
第二补充点课外知识:https://blog.csdn.net/zhang14916/article/details/86539098
补充完整知识点:http://www.sohu.com/a/291928086_653604