DVWA暴力破解高级模式宏爆破

先将安全等级调至高级,点击submit提交

image-20230812133032883

浏览器开启bp代理

image-20230812133146227

kali开启bp 工具,开启Proxy

image-20230812133244225

点击Brute Force这个选项卡

image-20230812133345799

bp拦截到请求的数据包

image-20230812133401248

宏设置

image-20230812134604864

如果是有的bp版本比较旧,在旧版本的上面菜单栏有一个Project options点击去选择Session,就会出现跟下面一样的宏界面

image-20230812134624697

image-20230812134734809

image-20230812134843572

image-20230812134857752

image-20230812135038820

image-20230812135217542

image-20230812135252339

image-20230812135346060

image-20230812135408900

image-20230812135643912

image-20230812135659204

image-20230812135737624

image-20230812135818684

image-20230812135826336

宏设置 完成

测试宏 是否设置正确

image-20230812140037783

点击登录,bp会 拦截到请求的数据包,打开bpProxy,点击Forward放包

在这里插入图片描述

发送到Repeater,点击send,观察user_token有没有跟着变化

image-20230812140342403

开始爆破

发送到Intruder

image-20230812140857957

模式选择Cluster bomb集束炸弹

image-20230812140930086

将输入的用户名和密码打上标记

image-20230812140950661

给第一个标记导入用户字典

image-20230812141028162

给第二个标记导入密码字典

image-20230812141042769

选择一个线程

image-20230812141106428

选择总是重定向

image-20230812141142690

开始爆破

image-20230812141252843

总结

首先访问有user_token的页面,bp拦截到当前页面链接
使用宏配置,正则表达过滤user_token
输入账号密码拦载,将拦截的内容先放到重发器(Repeater)里面测试一下,user_token是否会变,如果变了,表面之前的宏设置成功
最后使用测试器(Intruder),进行密码爆破,使用集束炸弹模式
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值