仅通过kali自带的Burpsuite对DVWA Brute Force页面进行手动注入(low级别)
写在前面:默认账号密码admin和password
目标
出现欢迎语句及图片![请添加图片描述](https://i-blog.csdnimg.cn/blog_migrate/daaa3e520f2e078f74a8eda2f8bd0056.png)
环境设置
进入bp工具,在设置>Tools>Burp’s browser中开启sandbox选![请添加图片描述](https://i-blog.csdnimg.cn/blog_migrate/f4caa98ca75d18d6a637349e7f093885.png)
(不做这一步可以享受原始的美)
操作步骤
1.使用bp
进行抓包
2.右键鼠标发送到repeater
界面
错误密码be like:
3.尝试直接修改数据,提交显示404
,后尝试发现GET方式不能使用空格,#,=等字符,由于手打转义字符太过麻烦,于是选择使用一下工具,详见第4步
4.找到bp repeater
界面左边inspector
栏,并点击request query parameters
,随后在下拉菜单中点击username
行左侧箭头![请添加图片描述](https://i-blog.csdnimg.cn/blog_migrate/250a0709db523fb67c25d98cb31dfd23.png)
5.在Decoded from:
下拉菜单处选择url encoding
6.在Decoded from:
下方文本框中写入注入语句(此处以admin'#
为例),然后点击下方Apply changes