DVWA Brute Force(暴力破解) 渗透操作流程

原创 已于 2025-06-19 22:25:55 修改 · 1.8k 阅读 · 44 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2025-06-19 21:50:49 首次发布

DVWA Brute Force(暴力破解) 渗透操作流程

burpsuite安装教程(b站up主):linux环境Burpsuite pro安装并创建桌面快捷启动 - 哔哩哔哩

暴力破解原理篇: 

暴力破解跟社会工程学有一定的联系,是通过我们对用户进行一些信息收集,对对方可能使用的密码使用程序进行一个自动生成,然后再使用程序对对方进行一个自动爆破的过程,比如对方可能使用姓名的拼音+手机号,或者手机号+姓名的拼音,或者.一类的符,我们就可以利用这些信息进行一个针对生成,然后对对方进行相应的爆破

kali自带的字典生成工具: crunch

crunch 最小位数 最大位数 指定生成范围

1.Low等级

随便输入几个帐号和密码 看网站的提示,发现不管输入几次都是显示帐号和密码不对

既然Low等级没有那么多限制,我们直接准备好字典,打开burpsuite,开启拦截功能

拦截到的这个request包也就是我们请求的包,可以看到我们随便输的帐号和密码也在里面,右击,发送到intruder模块,或者按Ctrl+I发送到intruder

这里提供的攻击方式有四种分别是:

机制场景请求量
Sniper(狙击手模式)单Payload字典 → 逐个替换所有标记位置暴力破解单个输入点(如密码、API密钥)Payload数量 × 1个位置对 username=§admin§&password=123 中的 §admin§ 轮流替换字典值。
Battering ram(攻城锤模式)单Payload字典 → 同时替换所有标记位置多个位置输入相同内容(如批量修改邮箱、统一填充验证码)Payload数量 × 1对 email=§test@a.com§&confirm_email=§test@a.com§ 中两个标记位同时替换相同值
Pitchfork(草叉模式)多Payload字典 → 按顺序并行替换不同位置关联字段组合攻击(如用户名+密码、手机号+验证码)min(字典1数量, 字典2数量, ...)

  • 字典1:[user1, user2, user3] → 替换 username=§*§

  • 字典2:[pass1, pass2] → 替换 password=§*§
    最终组合:(user1,pass1)(user2,pass2)字典较短者决定总次数

Cluster bomb(集束炸弹模式)多Payload字典 → 笛卡尔积组合替换不同位置全字段穷举爆破(如撞库、多参数模糊测试)字典1数量 × 字典2数量 × ...

  • 字典1:[admin, test] → 替换 username=§*§

  • 字典2:[123, abc] → 替换 password=§*§
    最终组合:(admin,123)(admin,abc)(test,123)(test,abc)

因为我只有一个字典,且正确帐号密码都包含在字典中,这里我直接选择Cluster bomb模式,点击intruder的positions位置我们现在就可以看到我们刚才的那个包,我们选中我们想要使用字典换掉内容的地方,然后全部加上标记

​​​​

 我们再换到intruder的payload,选中payload set 改成2因为我们有两个位置,payload type为simple list

然后再点击Load,我们选中准备好的字典加进去

点击Start attack开始爆破 

 爆破完之后 我们找到长度最特殊的,这个就是真正爆破成功的

关闭拦截功能,回到暴力破解页面进行验证,发现是正确的

Low等级暴力破解代码分析

为了能更好的读懂代码,我对代码做了中文的注释,接通下来我们可以看看

首先就是接收用户名密码,查询数据库的语句

安全问题1:我们可以清楚的看到 我们后台的php使用的是get方式获得从前台传过来的数据,这样会导致在url中会明文显示username和password

安全问题2: md5现也已被证实是不安全的加密,但在这里,他只是加密过跟数据库比对

安全问题3: sql注入的漏洞,因为他的代码是 直接查询的数据库

$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

这样的话 我们也可以在用户名的位置位入 admin ' -- 使后面的内容注释掉,假如数据库中存在,admin这个用户,就会直接登入成功。

接下来我们看下面的代码

安全漏洞4:用户名枚举

在login failed那里,假如登陆失败,他会提示我们帐号或密码错误,这样我们可以判断我们注入的时候,假如我们的用户名没有猜对,他会显示用户名密码不对,从而被我们利用到信息

 2.Medium等级

Medium的爆破是与Low的爆破相同的,这里我们直接看代码的部分

Medium等级暴力破解代码分析

可以看到,在用户名和密码那里,都加了mysqli_real_escape_string来转义特殊的字符,防止被随便sql注入进去,但是这种只是简单的防御,对sql注入的的防御不够完整

安全问题1:我们可以清楚的看到 我们后台的php使用的是get方式获得从前台传过来的数据,这样会导致在url中会明文显示username和password

安全问题2: 只限制了间隔时间,没有设置次数的限制,这种只能限制我们穷举的速度,并不能对我们进行实质性的防御

3.High等级暴力破解

来到high等级,先随便输入几个密码试试,发现还没有输入次数限制,打开burpsuite,burpsuite打开拦截模式

拦截到数据包,发现high等级对比前两个等级已经生成了随机的token,在面对这种数据包的时候我们需要把token换成每次生成的token

我们按下ctrl+i把包发给Intruder,打开intruder 把attacktype改成Pitch Fork

 然后把password和token里面的值加上标记

payload还是选择第一个位置,载入字典

因为我们要每次都拿到这个token值,所以我们要建一个资源池,设置一个1 

在setting里面add一下token的位置

选中并复制token的值,然后再在payload里面设置第二个payload,不要忘记把第二个payload粘贴进去

点击start attack等待就可以

High等级代码分析

high等级跟medium等级一样,使用mysqli_real_escape_String这个特殊字符转换做了防sql注入 ,还做了防止csrf,在这里每次都验证了token

 4.Impossible等级

impossible等级对暴力破解做了非常严格的保护,首先 就是对参数的传递使用了POST而不是Get,修复了前几个等级会在地址拦明文显示的问题

 防止csrf的机制,双重token,请求token+会话token

 防止sql注入,对传过来的数据进行转译,还使用PDO进行预处理

输错密码锁定15分钟 

允许最大输入次数和锁定时间

行则易
关注
DVWA——暴力破解
m0_74426634的博客
04-04 2818
概述:穷举法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。
DVWA暴力破解
编程界菜姬的博客
06-04 719
暴力破解就是利用大量的猜测,将需要的数据一一列举,然后根据条件判断此答案是否合适,合适可保留,不合适需舍弃并测试下一条数据。
手把手教你一步一步暴力破解密码,学不会来找我
2201_75765956的博客
11-17 2110
但是你不可能一个一个去手动构造数据包,所以在实施暴力破解之前,我们只需要先去获取构造HTTP包所需要的参数,然后扔给暴力破解软件构造工具数据包,然后实施攻击就可以了。暴力破解也可称为穷举法、枚举法,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。第三步:选择我们要破解的变量。
DVWA-暴力破解Brute Force
weixin_58954236的博客
08-19 2253
首先访问有user token的页面,bp拦截到当前页面链接使用宏配置,正则表达过滤user token,输入账号密码拦截,将拦截的内容先放到重发器里面测试一下,user token是否会变,如果变了,表面之前的宏设置成功首先访问有user token的页面,bp拦截到当前页面链接使用宏配置,正则表达过滤user token,输入账号密码拦截,将拦截的内容先放到重发器里面测试一下,user token是否会变,如果变了,表面之前的宏设置成功。
Dvwa-暴力破解
Have_a_great_day的博客
12-17 2713
初次搭建Dvwa靶场,默认输入账号Username–【admin】、密码Password–【password】,登陆界面。添加狐狸代理。因为之前做过了,就把之前留的图片放到这里了。kali自带Firefox,按照下图步骤做添加狐狸代理搜索fox,选择如下图fox,点击进入没有安装的话,点击添加那么就添加成功,然后再点击添加,然后狐狸代理就弄好了于是在菜单栏中会显示,点击添加输入ip和端口后,点击保存。利用新工具,点击kali左上角搜索【burpsuit】打开,会弹出如下图,直接点击下一步。
DVWA靶场-Brute Force暴力破解
mlws1900的博客
03-12 2029
具体来说,它使用了mysqli_real_escape_string()函数对用户输入的用户名进行转义,确保特殊字符在SQL语句中不会被误解为SQL语句的一部分,从而保护数据库安全。进入暴力破解的界面,有点基础的都知道,在bp中通过字典,导入用户名和密码进行爆破,这样的操作大家见多了,再写没啥意思,想看的可以去pikachu靶场的暴力破解去了解具体操作,本文主要结合代码进行分析。3.high-高等安全等级,有安全措施保护,是中等安全等级的加深,这个等级下的安全漏洞可能不允许相同程度的攻击。
DVWA靶场实战-Brute Force暴力破解
mmxhappy的专栏
01-23 1367
接下来在“Intruder”中找到“Options”,在“Options”中找到“Drep-Extract”,点击“Add”弹出“Define extract grep item”窗口,点击“Refetch response”,在弹出的代码中找到“user_token”将后面的“value”中单引号的内容选中,点击OK添加成功。得到如下界面就是开始爆破了,爆破完后点击length,因为此时其他状态都是相同的,所以我们选择用“Length”来进行筛选,筛选出不同的那几条,就是爆破的结果。
DVWA靶场Brute Force (暴力破解) 漏洞low(),medium(中等),high(),impossible(不可能的)所有级别通关教程
m0_74786138的博客
12-29 2460
设置了防爆破模式,同时采用了更为安全的PDO(PHP Data Object)机制防御sql注入,这是因为不能使用PDO扩展本身执行任何数据库操作,而sql注入的关键就是通过破坏sql语句结构执行恶意的sql命令。这是最高的难度,其中每次登录都由GET提交方式改为POST提交方式,同样加了token校验机制,还有就是他限制的登录的次数,如果登录失败3次,账户就会被锁定,需要等待15,然后才能重新尝试。攻击速度会比较慢,因为源码设置了每次登录后需要2秒才能再次登录,爆破成功。筛选长度查看,攻击成功。
Kali渗透测试之DVWA系列2——Brute Force(暴力破解)
浅浅的博客
05-11 5378
目录 一、暴力破解原理 二、实验环境 三、实验步骤 安全等级:LOW 安全等级:Medium 暴力破解的四种方式 安全等级:High 安全等级:Impossible 防止暴力破解的有效手段 一、暴力破解原理 暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功...
DVWA_bruteForce工具_官网下载_Bruter_1.1.zip
09-18
DVWABruteForce板块所需要用到的暴力破解工具。 日常暴力破解小能手。谁用谁知道。
DVWA】——Brute Force暴力破解
HinsCoder的博客
09-13 3196
准备好Brup Suite软件。
DVWABrute Force
GVFDBDF的专栏
09-05 1517
1、首先进入DVWA的平台:http://127.0.0.1/DVWA/login.php 默认username:admin 默认password:password 2、点击Brute Force暴力破解),然后设置浏览器代理:127.0.0.1:8080 3、打开BrupSuit,设置为监听状态 4、输入任意用户名和密码,然
dvwabrute force
qq_39926171的博客
04-30 384
前提:所有爆破都建立在弱口令基础上。 Low: 知道user则可以进行注入。用一下万能密码or 1=1,成功 Medium: 尝试十六进制绕过注入无效,用burpsuite进行爆破即可,失败一次就要等2秒。但不影响爆破 High: 开burpsuite抓包: 知道账号则需要爆破token以及password,爆破模式选择为一对一,也就是pitchfork: password:paylo...
dvwa靶场 Brute Force
最新发布
01-08
### DVWA Brute Force 暴力破解 实验教程 #### Low 和 Medium 级别暴力破解 对于低级别和中级别的暴力破解,由于这些级别的防护措施较为简单,可以利用工具如Burp Suite来进行自动化攻击。具体来说: - **Low Level**: 这一等级几乎没有任何安全机制来阻止暴力破解尝试。用户名和密码通过HTTP GET请求发送,并且没有验证码或登录失败后的延迟处理。因此,使用Burp Intruder模块并加载常用弱口令列表可以直接发起大量猜测尝试[^4]。 ```bash # 使用 Burp Suite 的步骤如下: 1. 启动浏览器代理设置指向本地监听端口8080; 2. 访问DVWA网站并通过拦截功能捕获登录表单提交的数据包; 3. 将数据包转发至Intruder面板配置参数位置(通常为username和password字段); 4. 加载预定义的字典文件作为payload选项; 5. 开始攻击过程观察返回结果寻找有效凭证组合。 ``` - **Medium Level**: 中级增加了简单的防御手段——每当验证不成功时会触发`sleep(2)`函数使响应时间延长两秒钟。尽管如此,这并不会显著影响实际操作中的成功率;只需耐心等待每次迭代完成即可继续测试其他候选值[^2]。 #### High 和 Impossible 级别暴力破解 随着保护强度增加到了高级阶段,则引入了更复杂的逻辑用于检测异常行为模式以及采取相应对策加以遏制潜在威胁活动的发生频率及其效率表现形式上有所区别于之前所描述过的简易型方案设计思路框架结构特点方面存在差异之处在于: - **High Level**: 此处不仅限定了最大重试次数还加入了基于IP地址白名单管理策略从而进一步提升了整体安全性水平线以上述两点为核心要素构建而成的一套综合性的访问控制体系架构模型实例化应用案例研究对象之一即为此版本下的用户认证流程环节部分实现细节说明文档记录内容摘要概述。 - **Impossible Level**: 几乎无法被传统意义上的穷举法攻破。该层面上除了继承自高阶版的安全特性外更是额外集成了诸如图形验证码之类的交互式组件用来增强人工干预成分比例进而达到更好的防伪效果目的所在[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值