摘要
本篇签到记录dvwa前五个漏洞的low级别测试过程和结果。顺便复习一下之前接触过的几个漏洞。
0x00 环境搭建
phpstudy+dvwa环境的搭建不难,这里就不详细说了,详细参照博客。
phpstudy下搭建dvwa
0x01 Brute Force(爆破)
Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一。主要利用工具和字典穷举密码,进行渗透。一般在弱类型密码和没设置多次密码错误锁定账户时,容易产生爆破漏洞。
下面开始测试dvwa的brute force的low级别:
爆破的话,就得寄出神器brupsuite了。
1.设置代理,抓包:
然后抓到了之后可以比较容易看出,GET方式提交请求;
2.Ctrl+I交给intruder模块,clear$,在password上加上$,表示不断改变password的值。
3.载入字典,然后点击start attack。我是在网上下了一个,其实也可以自己制作攻击字典。(自制字典)
4.最后发现password的长度与众不同,且是最长的,可推测password即为正确密码,手工验证登陆,发现正确。