暴力破解(Brute Force)的意思是攻击者借助计算机的高速计算不停枚举所有可能的用户名和密码,直到尝试出正确的组合,成功登录系统。理论上,只要字典足够大,破解总是会成功的。阻止暴力破解的最有效方式是设置复杂的密码(英文字母大小写、数字、符号混合)。而如果你的字典是从某网站泄露出来的,你使用它试图登陆其他网站,就便是撞库。撞库攻击的成功率高于暴力破解,因为你在A网站的用户名、密码通常和B网站的用户名、密码一致。
本次暴力破解是在DVWA上进行,使用的是Burp Suite的intruder模块。首先打开DVWA测试环境,设置为LOW等级。进入暴力破解模块。打开代理,先尝试提交一次,用Burp抓一下包。
然后鼠标右键下方内容框,点击send to intruder,将包送入暴力破解模块
点击Positions,挑选要破解的目标,点击Clear $
先清空标记
本次先只对password进行破解,所以在password后面的数字前后点击Add$
然后点击上方的Payloads选项,开始组建破解方案
可以自己写入几个常用的可能密码,也可以导入一个密码本。
配置好Payloads后,点击左上方的start attack,进行暴力破解。
根据结果我们发现,密码为password的返回长度和其他都不一样,所以本次的密码为password,去DVWA输入发现,密码是正确的。