实验准备:
DVWA漏洞演练平台,Burp Suite 工具
1.打开DVWA平台
设置等级为low,打开暴力破解页面
2.更改代理设置
打开IE浏览器--->Internet 选项--->连接--->局域网设置--->为LAN使用代理服务器(打钩),地址为127.0.0.1,端口默认,确定,确定
3.打开Burp Suite工具
打开Burp Suite工具,在DVWA上填入正确的用户名,和错误的密码
4.捕获网址
在Burp Suite工具下的Proxy下的HTTP history下右键刚刚登录发送的请求,选择send to intruder
5.添加字典
选择Intruder选择Payloads,在Payload Options下load按钮导入本地字典,也可用工具自带的字典
6.添加网站输出的数据
在Options下的Grep - Match下可将页面错误提示加上
7.针对性的攻击
在positions下选择clear$ 因为用户名是对的,所以我们只需要选择密码进行爆破,在密码=后选择并add$
8.开始破解
点击Intruder,选择start attack 开始破解,若是破解成功,Status与Length都会与错误的不同