20171121早DVWA练习:low级别之Brute Force

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了20171121早DVWA练习:low级别之Brute Force相关的知识,希望对你有一定的参考价值。

0x00:简介

  DVWA是渗透测试网站,想研究安全的兄弟们可以安装在自己的虚拟机中,没事的时候攻破着玩,老黑最近在玩这个,当然也遇到了坑爹的 事情,话不多说,直接开始!

0x01:环境

  主机A:自己的主机

  主机B:搭建了XAMPP+DVWA环境(步骤参考),IP:192.168.162.128

0x02:暴力破解密码

  s1:输入"admin / password"登陆进主页面

技术分享图片

  s2:调整安全等级为low,然后进入brute force的目标页面

技术分享图片

技术分享图片

  s3:注意力不用点击Logout,而是直接在里边输入账号,密码进行爆破(老黑搞笑地是每次都logout后,在dvwa的Login.php页面进行爆破,可惜每次都是有问题,最后看了网上的视频才知道自己搞错了,真是无语了,呵呵呵。)

    s3.1:输入admin,12(当然密码应该是password,但是我们接下来就用brutesuite进行字典爆破出密码)

    s3.2:确保firefox的代理设置为brutesuite的代理,可参考这里

    s3.3:点击login,然后就会被brutesuite捕获到请求,如下

技术分享图片

  s3.4:使用Ctrl+I,进入Intruder,进行构造payload

    s3.4.1:点击positions->clear $

技术分享图片

    s3.4.2:只在password上添加$

技术分享图片

    s3.4.3:点击payloads,添加字典

技术分享图片

    s3.4.4:点击Start Attack,得到结果

技术分享图片

  s4:可知password就是密码

0x03:后记

  仅供研究!

 

以上是关于20171121早DVWA练习:low级别之Brute Force的主要内容,如果未能解决你的问题,请参考以下文章

DVWA的安装教程和通关详解

《11招玩转网络安全》之第四招:low级别的DVWA SQL注入

DVWA-XSS(Reflected)Low/Medium/High低中高级别

DVWA之CSRF

DVWA全级别详细通关教程

《11招玩转网络安全》之第五招:DVWA命令注入