【20171121早】DVWA練習:low級別之Brute Force
阿新 • • 發佈:2017-11-21
con content word int 4.2 books 安全 主機 每次
0x00:簡介
DVWA是滲透測試網站,想研究安全的兄弟們可以安裝在自己的虛擬機中,沒事的時候攻破著玩,老黑最近在玩這個,當然也遇到了坑爹的 事情,話不多說,直接開始!
0x01:環境
主機A:自己的主機
主機B:搭建了XAMPP+DVWA環境(步驟參考),IP:192.168.162.128
0x02:暴力破解密碼
s1:輸入"admin / password"登陸進主頁面
s2:調整安全等級為low,然後進入brute force的目標頁面
s3:註意力不用點擊Logout,而是直接在裏邊輸入賬號,密碼進行爆破(老黑搞笑地是每次都logout後,在dvwa的Login.php頁面進行爆破,可惜每次都是有問題,最後看了網上的視頻才知道自己搞錯了,真是無語了,呵呵呵。)
s3.1:輸入admin,12(當然密碼應該是password,但是我們接下來就用brutesuite進行字典爆破出密碼)
s3.2:確保firefox的代理設置為brutesuite的代理,可參考這裏
s3.3:點擊login,然後就會被brutesuite捕獲到請求,如下
s3.4:使用Ctrl+I,進入Intruder,進行構造payload
s3.4.1:點擊positions->clear $
s3.4.2:只在password上添加$
s3.4.3:點擊payloads,添加字典
s3.4.4:點擊Start Attack,得到結果
s4:可知password就是密碼
0x03:後記
僅供研究!
【20171121早】DVWA練習:low級別之Brute Force