作业:
1、安装burp,分别在本机上实现全局代理和局部代理,提供设置过程的说明文档;
2、利用burp实现对https站点的抓包;
3、使用Burp的Discover Content功能爬取任意站点的目录,给出爬取过程的说明文档、站点树截图;
4、分别使用Burp Scan的主动扫描和被动扫描功能对DVWA站点进行扫描,输出扫描报告;
5、Burp Intruder爆破题目
靶场地址:http://42.192.37.16:8082/vulnerabilities/brute/
靶场开放时间:2024.9.21 - 2024.9.28
管理员账号/密码:admin/password
注意事项:爆破成功的同学请勿修改任何账号的密码,以免影响其他同学正常作业!!!
(1)老李今年52岁了,他最近也在学习网络安全,为了方便练习,他在DVWA靶场中增设了一个自己的账号,密码就是他的生日,请你想办法破解出他的账号密码;
(2)Cookie老师在DVWA靶场中设置了一个账号Magedu,且在靶场中的某处存放了一个文件名为mageduC10.txt的密码字典,请你想办法找到该字典并尝试爆破,以获取账号Magedu的正确密码。
1.安装burp,分别在本机上实现全局代理和局部代理,提供设置过程的说明文档
1.1全局代理:
1.2局部代理:
2利用burp实现对https站点的抓包
安装burp的CA证书
安装后在浏览器导入证书
导入后就看可以抓取https包
3.使用Burp的Discover Content功能爬取任意站点的目录,给出爬取过程的说明文档、站点树截图
首先打开目标网站,抓取目标网站数据包,右键打开Engagement tools,Discover Content。点击Session is not running开始扫描,config标签可以配置爬取参数。
4.分别使用Burp Scan的主动扫描和被动扫描功能对DVWA站点进行扫描,输出扫描报告
主动扫描
被动扫描
5.Burp Intruder爆破题目
5.1:用户名laoli,密码19720921
5.2:找到字典pwd.txt
进行爆破