搭建DVWA靶场与暴力破解密码

最新推荐文章于 2024-08-23 22:07:50 发布
最新推荐文章于 2024-08-23 22:07:50 发布
阅读量461 收藏 2
点赞数 8
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73734900/article/details/140165161
版权

实习日记:搭建DVWA靶场与破解密码

日期:2024年7月2日

今天在实习中进行了一些有趣和挑战性的任务。主要是搭建了一个DVWA靶场,并通过Burp Suite工具进行了一次密码暴力破解的实验。

我下载并使用了PHPStudy搭建了DVWA靶场,这是一个专门用来演示Web应用安全漏洞的实验平台。通过搭建DVWA,我学习了如何配置和管理PHP环境,并且了解了一些基本的PHP和HTML的语法和结构。

在DVWA搭建完成后,我使用Burp Suite这一强大的网络攻击和安全测试工具,拦截了DVWA网站的请求。接着,我利用Burp Suite的Intruder功能,对DVWA网站的登录页面进行了密码暴力破解的实验。通过调整payload和payload集,我逐步提高了暴力破解的效率和成功率。最终,成功破解了一个设定较弱的测试账号的密码。

用burp拦截dvwa靶场网站

一开始,出现了拦截不到127.0.0.1的情况,解决方法:将127.0.0.1换成主机的ip地址后,成功拦截到。

转入intruder:

难度Low:

(1)sniper攻击

加入测试字典

进行爆破

找到密码password

(2)Battering ram和Pitchfork攻击

Payload位置

两个payload集

这两种方式局限性太大,不适用于我们所需的破解

(3)Cluster bomb攻击

此攻击方法应该是适用性最强的,但字典过多可能导致需要的时间过长。

难度Medium:

和上面的步骤差不多

难度high:

交叉攻击

导入字典

检索-提取

添加

递归

有个兵王梦的码农
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA靶场暴力破解
qq_52223347的博客
12-29 280
DVWA暴力破解 等级:low 设置等级low 这里sql注入也是可以的,看一下源码 <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users`
DVWA靶场暴力破解漏洞
weixin_46062722的博客
01-03 903
暴力破解简介 暴力破解也叫穷举法,其基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。 暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。 危害: 恶意用户登录 服务器沦陷 敏感信息泄露 用户密码
【针对DVWA登录界面密码暴力破解python脚本(保持会话,携带token)】
AA8j的博客
09-09 911
效果 源码 #!/usr/bin/python # -*- coding: utf-8 -*- # @Time : 2021/9/3 13:01 # @Author : AA8j # @Site : # @File : test2.py # @Software: PyCharm # @Blog : https://blog.csdn.net/qq_44874645 import re import requests from fake_useragent import Use
DVWA靶场练习篇------暴力破解密码
m0_63767821的博客
01-06 1493
例如第一次爆破时,使用字典A中的第一个值给username参数,此时password参数的值就是字典B的第一个值,一次类推A第二个值对应B第二个值。②battering ram模式:两个参数使用同一个字典进行爆破,爆破结果是两个参数的值相等,例如爆破过程中使用的用户名为admin,密码也为admin。这种模式现在用的较少。如图中的username与password爆破使用的值,刚好是字典A与字典B的第一至第四个值。字典A中的每一个值都会与字典B中的每个值进行组合破解,破解的次数=A的数量 x B的数量。
DVWA——暴力破解
m0_74426634的博客
04-04 2061
概述:穷举法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。
DVWA暴力破解一(使用Burp Suite)
cai_huaer的博客
04-14 4579
加载弱口令文本后,如果觉得哪一个弱口令不要,可以直接选择那一行的弱口令,再点击Remove,如果觉得需要添加哪个弱口令,可以在Add按钮右边的输入框输入后,再点击Add按钮进行添加。一共9个口令,爆破18次,会依次赋值去爆破,首先第一个参数,依次赋值弱口令字典的值,然后第二个参数为之前提交的默认参数,当时我写的密码是112233,所以前面9次爆破就是第一个参数依次赋值字典,第二个参数为112233,后面9次爆破就是第一个参数为当时我输入的112233,第二个参数依次赋值字典的值。
DVWA —— Brute Force 暴力破解
YouTheFreedom的博客
05-20 2461
由于没有对登录页面进行相关的防暴力破解机制,如无验证码、有验证码但验证码未在服务器端校验以及无登录错误次数限制等,导致攻击者可通过暴力破解获取用户登录账户及口令,从而获取网站登录访问权限
dvwa靶场暴力破解(安全等级:low)
不可言传的博客
07-10 3342
条件 靶场地址:http://192.168.126.130/vulnerabilities/brute/ 由于我们的安全登录设置的是low,没有任何的限制,我们就以爆破admin为目标。 使用工具:burp suite v2.1.05 目的 学会使用burp suite爆破功能的简单使用 开始 启动好burp suite,设置好代理,启用拦截,走起 一、抓登录数据包 用户名:admin 密码:随意输入 burp suite提示拦截到了数据包 二、分析数据包 这个地方就是密码,就是我们爆破的
windows使用PHPStudy搭建DVWA靶场
weixin_43836595的博客
03-23 1680
windows使用PHPStudy搭建DVWA靶场 参考链接:https://blog.csdn.net/u011781521/article/details/54933424 一、DVWA简介 该死的弱势网络应用程序(DVWA)是一个众多易受攻击的PHP / MySQL Web应用程序。其主要目标是援助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序和援助教师/学生在课堂环境中教导/学习Web应用程序安全的过程。 二、下载路径,打开官网https://dvwa.
DVWA靶场搭建
newlife1441的博客
08-16 655
DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。3.2.1查看php版本。..
DVWA靶场搭建与渗透
yangtailang94666的博客
09-28 485
环境搭建: 使用phpstudy 一键搭环境。 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 官网:DVWA - Damn Vulnerable Web Application 在安装前,需要做一个准备工作,我们先去做一个PHP+Mysql的环境搭建。1.下载、安装、启动phpstudy,https:
DVWA靶场 Brute Force
SELF_REDEEM的博客
07-05 581
环境说明 本文章中的靶场环境使用虚拟机搭建,之前有一篇较为详细的搭建教程。为了能尽量真实地模拟渗透环境,可以再在虚拟机中创建一台Kali虚拟机,并且设置两台虚拟机的网络使用NAT模式,这样攻击机与靶机处于同一网段中,可以互相Ping通,如果Ping不通的话可能是防火墙等的原因,关一下就好了。Kali中包含了许多预装的常用渗透工具,可以直接使用。第二种方法,可以直接使用宿主机当攻击机,虚拟机网络使用桥接模式,这样也可以在宿主机与虚拟机之间互相Ping通。本文使用的是第二种环境。 漏洞发掘 SQL注入漏洞
dvwa靶场
2301_80481202的博客
02-02 907
登录进入dvwa默认账号密码: 账号–admin,密码–passwordLow随意在登陆框输入,之后打开bp抓包。放到intrude测试器模块1.点击清除把所有变量清除2.分别双击输入的用户名和密码,点击添加,变为有效载荷3.选择攻击类型,攻击类型有四种,这里出于实际情况,这里选择第四种集束炸弹的模式Sniper: 单参数爆破,多参数时使用同一个字典按顺序替换各参数,只有一个数据会被替换Battering ram: 多参数同时爆破,但用的是同一个字典,每个参数数据都是一致的。
day38-栈和队列理论学习【python】
canGfly的博客
08-21 480
栈(Stack): 使用 Python 的list实现。主要操作有pushpoppeek, 和is_empty。队列(Queue): 使用实现。主要操作有enqueuedequeuepeek, 和is_empty。这两种数据结构可以通过这些操作灵活地处理和存储数据。在实际应用中,选择使用哪种数据结构取决于具体的需求和场景。ok了,就到这里叭~~~​​​。
数据结构(邓俊辉)学习笔记】优先级队列 08——左式堆:结构
最新发布
weixin_44399845的博客
08-23 963
学习左式堆的结构
Python3学习(一)
qq_54161774的博客
08-21 1282
python的基础语法
vue.js学习步骤
m0_63178019的博客
08-23 725
Vue.js 从一个简单的实验性项目成长为一个功能强大、社区活跃的前端框架,其发展历程展示了它对前端开发的持续创新和改进。通过引入先进的功能和不断扩展的生态系统,Vue.js 为开发者提供了一个高效、灵活的工具,满足了不同规模和复杂度应用的需求。
windows10搭建dvwa靶场
12-27
搭建DVWA(Damn Vulnerable Web Application)靶场是为了学习和测试网络安全的一个常见方法。下面是在Windows 10上搭建DVWA靶场的步骤: 1. 安装WAMP服务器: - 下载WAMP服务器安装包,例如WampServer或XAMPP。 -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值