1.简介
什么叫暴力破解,暴力破解又叫枚举法。在进行归纳推理时,如果逐个考察了某类事件的所有可能情况,因而得出一般结论,那么这结论是可靠的,这种归纳方法叫做枚举法。通俗的讲就是一个一个去试,但不是人手动的去试,而是利用工具。
2.工具
用Burpsiute的intruder模块进行暴力破解
Intruder的配置参数大家可以参考
3.DVWA靶场练习
①low等级
查看low等级源代码
没有做任何放爆破措施,而且get过来的参数没有做任何过滤直接拼接到查询语句中则此处还存在sql注入中万能密码登陆。
首先我们试试暴力破解打开burpsuite进行抓包
发送到intruder模块中,清除掉原来的变量,添加新的变量