brup suit暴力破解密码测试
闲来无事,总想搞点事情,于是就想起了之前学过的暴力破解。
第一步:
搭实验环境,暴力破解有很多,但既然是burp suit 那自然是web暴力破解,使用phpstudy+DVWA来做一个暴力破解环境,具体资源自行百度,php安装完成后将DVWA放在php安装目录下的www目录下面如下图所示:
然后修改DVWA的配置文件,如下所示:
记得改完之后保存为.php文件。
然后我们测试一下DVWA搭建的情况,在浏览器url栏输入localhost/DVWA或者127.0.0.1/DVWA若出现下述图片即安装成功。
默认账号:admin,默认密码password。
第二步:
上述我们就搭好测试环境了,接下来就是主角brup suit登场的时刻了,首先选择一个浏览器配置brup suit代理上网。
之后访问:本机地址/DVWA(这里使用127.0.0.1/localhost可能会导致brup suit抓不到post包),配置号后访问DVWA的暴力破解测试,如下所示:
然后我们这边可设置网站防护难度,我们根据个人能力设置:
这个时候我们通过暴力破解模块登录admin(默认知道存在用户admin,实际情况下需要自己收集信息)
此时我们在brup suit里面抓取到请求报文:
将该报文发送到intruder模块,并把密码设置为变量
接着设置攻击荷载payload,我们选择内置字典即可(简单测试)
之后就可以开始攻击啦
我们可以通过length参数来观察是否暴力破解成功。
假如配置成功了,那么length值肯定是唯一的。当然我们也可以自己设置参数来观察暴力破解是否成功。
综上所述,一次简单的暴力破解攻击就完成啦。