1、使用Burpsuit工具进行暴力破解
2、测试环境为OWASP环境中的DVWA模块
首先运行Burpsuit工具,设置监听地址和端口,然后在浏览器里面设置好代理IP和地址。如下图:
开启Burpsuit拦截功能,抓取登陆页面登陆账号和密码,这个密码实际是错误的,后面我们需要爆破的就是这个密码。
在刚刚拦截到的请求页面右击选择发送到入侵模块中去。
选择Intruder菜单进入入侵模块,点击“Position”,然后点击右侧的“clear$”把所以参数都清楚掉,选择username、password字段,然后点击”Add$”,这表明后面只需要包括这两个字段,如果要爆破多个字段内容,一样的操作方法。
选择攻击模式,选择“cluster bomb”。
点击“payloads”菜单进入设置攻击字典,攻击字典密码可以通过一个个的添加密码,也可以加载密码字典。Payload set列的1表示是username字段内容,2表示是password字段内容,这个顺序是根据前面positions设置的参数的顺序决定的。
点击“start attack”进行攻击。攻击后会弹出一个窗口。
从结果分析出length字段有一行的值跟其他行的值是不一样的,那么那个不一样的就是最终的结果,也就是本测试中的5075值的行是正确的密码,密码是admin。爆破成功。
本文出自 “老鹰a” 博客,请务必保留此出处http://laoyinga.blog.51cto.com/11487316/1877873
原文地址:http://laoyinga.blog.51cto.com/11487316/1877873