暴力破解就是利用大量的猜测,将需要的数据一一列举,然后根据条件判断此答案是否合适,合适可保留,不合适需舍弃并测试下一条数据。
由于暴力破解的工程量巨大,所以一般都会使用工具。
本次暴力破解实验我用到的环境有DVWA、Burpsuite、java_x64_8.0.1520.16、wampServer。在此之前必要环境需搭建成功。
目录
LOW级别
在Username和Password中尝试输入账户和密码
打开Burp Suite对网页进行抓包
抓包成功后右击选择Send to intruder
在这个界面设置暴力破解的位置
因为我们需要得到用户名和密码,所以使用clean重置页面后在Username和Password后面的值点击add,并设置攻击方式为Cluster bomb
设置好的Positions页面后选择Payloads,在这里里可以编辑暴力破解的项。
在第一组的文本框中输入需要添加的用户名
设置好后切换为第二列设置需要添加的密码。