20171121早DVWA练习：low级别之Brute Force

Posted 2020-10-15

0x00：简介

　　DVWA是渗透测试网站，想研究安全的兄弟们可以安装在自己的虚拟机中，没事的时候攻破着玩，老黑最近在玩这个，当然也遇到了坑爹的 事情，话不多说，直接开始！

0x01：环境

　　主机A：自己的主机

　　主机B：搭建了XAMPP+DVWA环境（步骤参考），IP：192.168.162.128

0x02：暴力破解密码

　　s1：输入"admin / password"登陆进主页面

　　s2：调整安全等级为low，然后进入brute force的目标页面

　　s3：注意力不用点击Logout，而是直接在里边输入账号，密码进行爆破（老黑搞笑地是每次都logout后，在dvwa的Login.php页面进行爆破，可惜每次都是有问题，最后看了网上的视频才知道自己搞错了，真是无语了，呵呵呵。）

　　　　s3.1：输入admin，12（当然密码应该是password，但是我们接下来就用brutesuite进行字典爆破出密码）

　　　　s3.2：确保firefox的代理设置为brutesuite的代理，可参考这里

　　　　s3.3：点击login，然后就会被brutesuite捕获到请求，如下

　　s3.4：使用Ctrl+I，进入Intruder，进行构造payload

　　　　s3.4.1：点击positions->clear $

　　　　s3.4.2：只在password上添加$

　　　　s3.4.3：点击payloads，添加字典

　　　　s3.4.4：点击Start Attack，得到结果

　　s4：可知password就是密码

0x03：后记

　　仅供研究！