码迷,mamicode.com
首页 > 其他好文 > 详细

用BurpSuite爆破DVWA

时间:2019-10-17 13:45:39      阅读:572      评论:0      收藏:0      [点我收藏+]

标签:sni   不同   clu   password   测试   用户   适合   load   循环   

本次使用BP的inturder模块,测试该模块下四种爆破方式的异同

四种方式爆破DVWA(Brute Force)测试

工具:burpsuite,使用intruder模块

环境:DVWAsecurity设置为low

 技术图片

 

 

   1sniper

两个参数

 技术图片

 

 

一个字典(知晓其中一个参数)

 技术图片

 

 

先匹配第一项,再匹配第二项,开始爆破

 技术图片

 

 

用爆破结果测试

 技术图片

 

 

   2battering ram

两个参数,这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况。

一个字典同时作用于两个参数,只有密码和用户名相同才能爆破成功。

由于第一次测试知道了用户名密码并不相同,所以爆破失败

 技术图片

 

 

 技术图片

 

 

 

  3pitch fork:两个字典,两个参数,同行匹配,短的截止。

这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入的情况。

这种方式字典一会一一对应字典二(a[1]--b[1]),直到字典较短的attack处理完了,爆破结束

 技术图片

 

 

因为导入的字典没有匹配项为admin---password”的,所以爆破失败

 技术图片

 

 

修改字典使得匹配项符合

 技术图片技术图片

 

 

 

爆破成功

 技术图片

 

 

   4cluster bomb‘两个字典,两个参数,交叉匹配,所有可能。

两个字典将会循环搭配组合进行attack处理,这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。

 技术图片

 

 

 

Payload 1导入用户名字典

 技术图片

 

 

Payload2 导入密码字典

 技术图片

 

 

攻击请求的总数是各payload组中payload数量的乘积。(爆破时数量过大,可以把线程分配多一点进行爆破)

 技术图片

 

 

 技术图片

 

 

 

爆破成功

 技术图片

 

用BurpSuite爆破DVWA

标签:sni   不同   clu   password   测试   用户   适合   load   循环   

原文地址:https://www.cnblogs.com/shayanboy/p/11691437.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!