在 kali linux 系统环境下自带 burpsuite 软件工具
一打开浏览器需要先设置将代理设置为本地
打开 firefox 浏览器 ->open menu->preferences->Advanced->Network->connect 选项中, 点击 setting 设置 http 代理
二打开 kali 系统自带的 berpsuite 软件 (kali 系统是专门用来做漏洞测试和渗透等多功能的 linux, 很强大)
三接下来先配置一下:
选择 Proxy 面板 (用来抓包的), 打开 option 配置代理为本地
四回到 intecept 拦截子页面, 开始抓包
五浏览器进入 DVWA 选择 Brute Force 菜单页面, 在登录框中填如值: 这里用 admin/123
六切换到 http history 子面板, 选择刚刚登录的 url 并且参数是 admin/123 的条目选中该请求, 右键 Send to Intruder
七切换 intruder 的 positions 子面板, 选择攻击类型, 先需要清除所有参数选择我们子需要的 password 参数, 123 点击 add$ 按钮
八再切换 payloads 子面板, 这里我就自己手动添加简单几个字典用来实验
其中 payload set 表示几个参数 (需要破解的),payload type 我选的是 simple list 就是手动加几个
九开始攻击, intruder->start attack, 执行结果如下:
十我们可以发现跑完后的结果其中只有一条长度不一, 即成功项 password 的值为 password
当然在下面也可以查看具体的执行情况各取所需
大致总结一下:
首先这个暴力破解的名字就像盗取隔离 wifi 密码时的跑字典一样一样的, 结果体验一下还真类似, 但是在 OWASP 给出的文档中还存在详细的教程以及多种方案, 这里不罗嗦, 正在看~
在这里实验的是自己随便加的几个字典项 (第一次玩, 没字典), 实际这个跑字典的过程还蛮久的, 当然取决与字典强度和 CPU 运算
来源: http://www.bubuko.com/infodetail-2515837.html