DVWA————Brute Force(暴力破解)
1、首先观察页面,发现只要输入的用户名或者密码有一个错误,就回显“Username and/or password incorrect.”,并且尝试了6次用admin用户登录,6次都输错密码,也没有提示用户被锁定不准继续尝试登录。感觉这关并没有防暴力破解机制。
2、用burp抓包,抓到如下报文,send to intruder
3、intruder中,把username和password的值设置为爆破点,attack type选cluster bomb(这种type下用户名和密码payload会进行组合,payload总数=用户名payload数量✖密码payload数量)
第1个payload选simple list,点load按钮,把用户名.txt的内容加载进来
第1个payload选simple list,点load按钮,把密码.txt的内用加载进来
4、点start attack开始暴力破解。得到的结果以length进行排序,length和其他不同的两组payload就是用户名和密码