首先,我们需要做好一些准备工作。
1.dvwa靶场的搭建(phpstudy)
2.burp suite工具的安装
3.对于将要爆破的浏览器进行代理插件(proxy)的安装以及证书(ca)的安装
4.设置自己电脑的代理
代理插件的下载以及证书的下载以及对自己电脑的设置都是为了我们的burp suite能够在浏览器上成功的抓上包。
本篇文章重在讲述实操过程,请大家将上述准备工作做好再来阅读本篇文章
好,接下来正式开始我们的教程
1.打开phpstudy将其启动
2.输入网址打开我们的dvwa靶场(根据当时的搭建过程,大家的网址会出现一些差异)
3.用户名:admin 密码:password登入dvwa
4.点击DVWA Security设置我们的关卡难度(这里我们设置为low级)
5.开始第一关Brute Force
我们打开burp suite工具,将自己的电脑代理设置好之后开启浏览器上的代理插件,点击burp中的代理按钮,再点击代理按钮下的截断,开启我们的截断请求,再在dvwa中随意输入用户名和密码
之后我们可以在burp中看到抓取到的包上面有我们输入的用户名和密码,我们在包的数据区域右键将整个包发给测试器
点击与代理同目录的测试器,我们可以看到我们发过来的包
点击右边的清除按钮,清除原来的有效载荷,再标住用户名和密码后面的字符,点击添加按钮让其成为有效载荷,攻击类型我们选择为集束炸弹
之后我们再点击位置旁边的有效载荷
在有效载荷选项界面加入我们的“词典” (载入中即载入我们自己编写的词典,从列表添加即是官方给的词典)
词典其实就是我们猜测的用户名或者密码,只是一种叫法,下面就是添加好的样子(自己在位置中设置了几个有效载荷我们就得给多少个有效载荷载入词典<在有效载荷集的有效负载集中选择对第几个有效载荷进行设置>)
下面我们点击右上角的开始攻击
长度最长的就是正确的用户名和密码,接下来我们关闭浏览器的代理插件,将正确的用户名和密码输入dvwa
破解成功!教程结束