仅通过kali自带的Burpsuite对DVWA Brute Force页面进行手动注入(low级别)

已于 2023-12-02 21:33:10 修改
阅读量505 收藏 11
点赞数 10
文章标签: sql 网络安全
于 2023-12-02 21:17:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62765352/article/details/134757482
版权

仅通过kali自带的Burpsuite对DVWA Brute Force页面进行手动注入(low级别)

写在前面:默认账号密码admin和password

目标

出现欢迎语句及图片请添加图片描述

环境设置

进入bp工具,在设置>Tools>Burp’s browser中开启sandbox选请添加图片描述

不做这一步可以享受原始的美

操作步骤

1.使用bp进行抓包

请添加图片描述

2.右键鼠标发送到repeater界面

请添加图片描述

错误密码be like:

请添加图片描述

3.尝试直接修改数据,提交显示404,后尝试发现GET方式不能使用空格,#,=等字符,由于手打转义字符太过麻烦,于是选择使用一下工具,详见第4步

请添加图片描述

4.找到bp repeater界面左边inspector栏,并点击request query parameters,随后在下拉菜单中点击username行左侧箭头请添加图片描述

请添加图片描述

5.在Decoded from: 下拉菜单处选择url encoding

请添加图片描述

6.在Decoded from: 下方文本框中写入注入语句(此处以admin'#为例),然后点击下方Apply changes

请添加图片描述
请添加图片描述

7.点击Request界面上方send按钮请添加图片描述
8.点击Response下方Rander可查看到虽然密码还是不对但是已经登入成功了

请添加图片描述

源码分析

1.一开始想改密码变量来着,但是出现了一点小意外,有md5,所以想通过密码进那是不可能的

请添加图片描述

2.因为判断条件是除了一条结果都不行,所以想用 or 1=1也不行请添加图片描述
Enterprise-NCC-1701-E
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BurpSuite 2020.8 安装及代理配置
weixin_47306547的博客
07-12 1208
目录 程序介绍 工作原理 Burpsuite工具箱 程序下载 安装程序 1.JDK安装 2.Burpsuie安装 代理配置 程序介绍 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 工作原理 Burpsuite工具箱 ...
kalikali设置burpsuite抓包dvwa
lorachao的博客
12-28 4004
kali自带burpsuite 配置代理 burpsuite是通过代理来抓包dvwaburpsuite:proxy—> options 里边监听的应该是127.0.0.1:8080 (端口ip如果撞车了都可以自己改) 火狐: preferences–>最下边的network settings点击settings —> 从use sysyem proxy改成manual proxy http:127.0.0.1 port:8080(和burpsuite设置的一样就ok),勾选上u
kali-linux 自带burp suite配置使用
weixin_48232596的博客
05-10 1089
Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。但是,kali自带burpsuite是免费版的,有不少功能不可以使用,如果要发挥burpsuite的所有功能,可以购买证书或者使用破解版。Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
kali系统安装DVWA
weixin_45263352的博客
07-11 2519
##一.安装dvwa DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞,在kali linux下搭建DVWA非常方便,因为所需的apache2、mysql、php等环境在kali linux中默认已经安装好了 搭建步骤: ###1. 首先去github上下载DVWA的安装包,网址为: https://github.com/ethicalhac
Kali渗透测试之DVWA系列2——Brute Force(暴力破解)
浅浅的博客
05-11 4958
目录 一、暴力破解原理 二、实验环境 三、实验步骤 安全等级:LOW 安全等级:Medium 暴力破解的四种方式 安全等级:High 安全等级:Impossible 防止暴力破解的有效手段 一、暴力破解原理 暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功...
Kali渗透测试之DVWA系列1——创建dvwa、安装Burp Suite
浅浅的博客
05-07 1241
一、创建dvwa 1、在Windows Server 2003(IP:192.168.247.129)安装phpstudy.exe,双击phpStudy.exe,默认路径安装,提供Apache、mysql等服务。 2、解压DVWA-1.9.zip压缩包,并重命名dvwa 3、启动phpstudy 4、配置dvwa(将dvwa文件放到phpStudy的www目录下,使其可以被访问...
dvwa-brute forcelow........)(采用sql报错注入进行解题)
qq_45106794的博客
11-01 284
admin’ and extractvalue(1,concat(’~’,(select user()),’~’))# '~root@localhost~' admin’ and extractvalue(1,concat(’~’,(select database()),’~’))# '~dvwa~' admin’ and extractvalue(1,concat(’~’,(select c...
Kali安装burpsuite专业版
04-03
Kali安装burpsuite专业版
kali_burpsuite专业版安装包
09-16
内含burpsuite_pro及gre8。 安装参考教程https://www.cnblogs.com/yeblade/p/14266385.html 注意参考教程中的jre包解压后的文件名与本资源不一致,可将本资源的jre解压后文件名改为和教程中一致即可。如果最后在桌面...
Kali+Burpsuite+Openvas+DAWA安装手册.docx
05-28
在这个文档中,作者详述了如何在Kali Linux上搭建一个包含Burpsuite、Openvas和DAWA的渗透测试环境。Kali Linux是一个专门为渗透测试和安全审计设计的操作系统,而Burpsuite、Openvas和DAWA都是常用的渗透测试工具。...
如何在Linux上安装卸载BurpSuite并使用浏览器进行配置
最新发布
05-17
burpsuite安装详细教程 在任何 Linux 系统上立即轻松地安装和卸载 Burp Suite。 Burp Suite 是最好、最受欢迎、世界上使用最广泛的渗透测试工具之一,也称为 Web 漏洞扫描程序,可帮助您查找 Web 应用程序上的漏洞。...
Windows和Kali2.0下可用的burpsuite2.0
08-06
burpsuite_pro_v2.0.11beta版,可以在Windows和Kali 2.0中使用。 在windows下无需单独安装JDK或JRE环境,包中集成了。 在Kali 2.0下,直接运行Kali-StartBurp.SH即可自动设置环境进入Burpsuite专业版。由于作者使用...
Burpsuite + DVWA 入门实战
LYSM
04-10 1万+
Burpsuite 版本:2.0 浏览器:火狐 不再介绍怎么安装和激活 。 1.firefox代理设置 2.firefox的证书设置 url栏输入 http://burp,点击 CA Certificate 下载证书(放桌面就行) 导入证书 3.burpsuite的设置 然后就可以抓包了 注意抓包的时候浏览器打不开网页属于正常现象,如果需要继续浏览,点击“intercept is on”按钮即可...
安装配置burpsuite并暴破DVWA靶场
m0_59302403的博客
05-14 4030
安装配置burpsuite,利用burpsuite暴力破解DVWA靶场的账户和密码,基本掌握burpsuite的基础使用。同时,总结了开启代理后,burpsuite拦截不到数据和Intruder模块存在光标偏移两个问题的解决方式。
DVWA靶场教程
热门推荐
wxh的博客
01-15 2万+
Burt Force(暴力破解)
kali自带burpsuite
weixin_55240334的博客
11-08 426
kai burpsuite
Kali搭建DVWA——Web靶场
微笑涛声
11-11 1万+
DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如sql注入,XSS,密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
kali自带burpsuite和wireshark
heyingcheng的博客
10-27 462
关于kali自带的测试工具
DVWA平台熟悉以及利用BurpSuite进行暴力猜解
CANCERTHREE
03-04 4259
 利用Burp Suite进行暴力猜解: 要用Burp Suite做数据包拦截,先对浏览器以及Burp Suite进行设置:  Windows下,进入Internet选项,在连接Tab中的局域网设置内,设置代理服务器,设置地址以及监听端口,在Burp Suite中,在Proxy的Option内设置要监听的地址及端口: 在浏览器中进入DVWA页面(此处DVWA平台的安
Kaliburpsuite
12-18
Burp Suite是一款用于攻击Web应用程序的集成平台,在Kali Linux中也可以使用。以下是在Kali中使用Burp Suite的简单步骤: 1. 启动Burp Suite:在Kali的菜单中搜索Burp Suite并点击启动。 2. 配置代理:在使用Burp ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值