zoukankan      html  css  js  c++  java
  • 网站爆破1

    本次爆破是在dvwa上实验的。

    需要工具:burp,dvwa,火狐浏览器。

    一、burp

    首先下载一个burp软件(在百度云盘工具文件下保存了安装包),启动burp需要java jre软件,在 这个网站下载需要版本 https://repo.huaweicloud.com/java/jdk/8u201-b09/  。

    下载安装好。设置burp的代理:proxy下的options 添加一个127.0.0.1:8080的代理。

    二、火狐浏览器

    下载安装好以后,打开网页右上角的菜单,选择添加组件,搜索FoxyProxy Standard组件并添加。添加完成吼点击浏览器工具栏右上角的狐狸图标即FoxyProxy,然后点击options设置代理,点击add,添加一个127.0.0.1:8080的代理。

     

    三、dvwa

    用docker搭建一个dvwa,

    拉取镜像:docker pull infoslack/dvwa

    创建容器:    docker run -d -p 80:80 infoslack/dvwa   

          或者:docker run -d -p 80:80 -p 3306:3306 -e MYSQL_PASS="mypass" infoslack/dvwa

    创建完成后在本地浏览器上输入 127.0.0.1 或者 localhost 即可访问dvwa。

     

    下载搭建好这三个之后,打开burp的proxy下的intercept下的intercept is on。然后用火狐浏览器搜索https://burp ,下载CA安全证书,然后再把证书导入浏览器:选择右上角菜单栏的首选项,点击隐私和安全,找到证书,查看证书,在证书颁发机构导入刚下好的证书。

     

    四:爆破

    进入dvwa的login登入页面,输入账户:admin 密码:123456(正确密码为password),打开浏览器代理,打开burp的intercept is on,再点击login。

    这时burp抓取到数据包,把数据包发送给intruder攻击,然后在positions中对要攻击的元素即要替换的元素add§,即 §123456§。在payloads中添加字典文本。

    可以开始爆破start attack了。对结果的长度length进行排序,就可发现正确密码。

     

     

  • 相关阅读:
    最优装载问题---贪心算法
    windows 10 资源管理器多余盘符去除
    js版本排序改造vue版本
    async and await
    echarts问题
    vue兼容到IE9
    expdp/impdp 参数说明,中英对照
    MySQL ibdata1文件迁移
    Oracle AWR报告提取方法
    Vertica DBD 分析优化设计
  • 原文地址:https://www.cnblogs.com/jiaojiaow/p/12950441.html
Copyright © 2011-2022 走看看