DVWA暴力破解(Brute Force)

四种攻击方式:

  Sniper标签这个是最常用的,Sniper是狙击手的意思。这个模式会使用单一的payload(导入字典的payload)组。它会针对每个positi中$$位置设置payload。这种攻击类型适合对常见漏洞中的请求参数单独的进行测试。攻击中的请求总数应该是position数量和payload数量的乘积。

  Battering ram这一模式是使用单一的payload组。它会重复payloa并且一次把所有相同的payload放入指定的位置中。这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况。请求的总数是payload组中payload的总数。简单来说就是一个payload字典同时应用到多个position中。

  Pitchfork这一模式是使用多个payload组。对于定义的位置可以使用不同的payload组。攻击会同步迭代所有的payload组,把payload放入每个定义的位置中。比如:position中A处有a字典,B处有b字典,则a【1】将会对应b【1】进行attack处理,这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入情况。请求数量应该是最小的payload组中的payload数量。

  Cluster bomb这种模式会使用多个payload组。每个定义的位置中有不同payload组。攻击会迭代每个payloa组,每种payload组合都会被测试一遍。比如,position中A处有a字典,B处有b字典,则两个字典将会循环搭配组合进行attack处理,这种攻击方式适用于那种位置中需要不同且不相关或者未知的输入的攻击。攻击请求总数是各payload组中payload数量的乘积。

1.Low等级暴力破解

step1:登录DVWA,设置难度等级为Low

step2:打开Burp suite

step3:代理设置

  工具→选项

 然后找到高级选项下的网络,点击设置

 点击手动配置代理,点击确定即可

 step4:抓包

填写用户名admin,密码随便输入一个,例如666666,然后点login登录

 

打开Burp suite查看抓包情况(抓包成功)

 step5:发送抓到的包到暴力破解的攻击模块

 step6:选择攻击类型为cluster bomb,清楚所有的美元符号

 step7:在需要破解的地方加上美元符号

 

 

 

 step8:之后点击payload,点击load选择密码本

step9:加载完成之后,在菜单栏选择lntruder--start attack 

 

通过观察长度(破解成功的长度是4738,其它均为4700),破解成功

 

posted @ 2020-01-29 16:49  mxm$  阅读(233)  评论(0编辑  收藏  举报