0x00:简介
DVWA是渗透测试网站,想研究安全的兄弟们可以安装在自己的虚拟机中,没事的时候攻破着玩,老黑最近在玩这个,当然也遇到了坑爹的 事情,话不多说,直接开始!
0x01:环境
主机A:自己的主机
主机B:搭建了XAMPP+DVWA环境(步骤参考),IP:192.168.162.128
0x02:暴力破解密码
s1:输入"admin / password"登陆进主页面
s2:调整安全等级为low,然后进入brute force的目标页面
s3:注意力不用点击Logout,而是直接在里边输入账号,密码进行爆破(老黑搞笑地是每次都logout后,在dvwa的Login.php页面进行爆破,可惜每次都是有问题,最后看了网上的视频才知道自己搞错了,真是无语了,呵呵呵。)
s3.1:输入admin,12(当然密码应该是password,但是我们接下来就用brutesuite进行字典爆破出密码)
s3.2:确保firefox的代理设置为brutesuite的代理,可参考这里
s3.3:点击login,然后就会被brutesuite捕获到请求,如下
s3.4:使用Ctrl+I,进入Intruder,进行构造payload
s3.4.1:点击positions->clear $
s3.4.2:只在password上添加$
s3.4.3:点击payloads,添加字典
s3.4.4:点击Start Attack,得到结果
s4:可知password就是密码
0x03:后记
仅供研究!