DVWA之暴力破解(Brute_Force Low&Medium)

摘要:

暴力破解一般分为两种,一种是既不知道用户名和密码,纯蛮力爆破,一种是经过嗅探得到用户名后进行密码爆破,一般较好的系统都会对你登录错误的次数或频率进行限制,如果连续几次输入错误,则限制若干分钟后登录,如果是金融系统或app一般都会对账号进行锁定。今天通过DVWA来练习使用burpsuite实现爆破的过程。

1.先将DVWA安全级别调为low,进行测试,经过手动探测若干次,发现并没有出现锁定。所以进一步使用burpsuite来进行爆破。

2.拦截后将请求信息发送到intruder,点击send to intruder ,点击Clear,然后只保留password变量,如下图

3.设置payload,里面的参数,加载一个密码字典进行爆破

4.在options中选择Grap-Match,可以设置一些爆破成功的特征,例如登录成功的页面是home,index等等。可以在这设置,以便爆破成功可根据此特征判断。DVWA这里登录成功会有提示,所以设置一个关键词 area admin

搭建DVWA(Damn Vulnerable Web Application)实验靶场是一个很好的学习渗透测试和网络安全的方法。以下是搭建DVWA实验靶场并选择low级别进行Brute Force攻击的步骤: ### 1. 环境准备 确保你的系统已经安装了以下软件: - Apache或Nginx(Web服务器) - MySQL或MariaDB(数据库服务器) - PHP(脚本语言) ### 2. 下载DVWA 从GitHub上下载DVWA源码: ```bash git clone https://github.com/digininja/DVWA.git ``` ### 3. 配置DVWA 1. 将下载的DVWA文件夹移动到Web服务器的根目录,例如`/var/www/html`。 2. 进入DVWA目录,复制`config/config.inc.php.dist`文件并重命名为`config.inc.php`。 ```bash cd DVWA/config cp config.inc.php.dist config.inc.php ``` 3. 编辑`config.inc.php`文件,配置数据库连接信息: ```php $_DVWA = array(); $_DVWA[ 'db_server' ] = '127.0.0.1'; $_DVWA[ 'db_database' ] = 'dvwa'; $_DVWA[ 'db_user' ] = 'root'; $_DVWA[ 'db_password' ] = 'password'; ``` ### 4. 创建数据库 1. 登录MySQL: ```bash mysql -u root -p ``` 2. 创建一个新的数据库: ```sql CREATE DATABASE dvwa; ``` 3. 创建一个新的MySQL用户并授予权限: ```sql CREATE USER 'dvwa'@'localhost' IDENTIFIED BY 'password'; GRANT ALL PRIVILEGES ON dvwa.* TO 'dvwa'@'localhost'; FLUSH PRIVILEGES; EXIT; ``` ### 5. 配置Web服务器 确保Web服务器配置正确,指向DVWA目录。 ### 6. 启动Web服务器和数据库 启动Apache/Nginx和MySQL/MariaDB服务: ```bash sudo service apache2 start sudo service mysql start ``` ### 7. 配置DVWA 1. 在浏览器中访问`http://localhost/DVWA/setup.php`。 2. 点击“Create/Reset Database”按钮创建数据库表。 ### 8. 登录DVWA 使用默认的DVWA凭证登录: - 用户名:admin - 密码:password ### 9. 选择low级别进行Brute Force 1. 登录后,在DVWA界面左上角选择“DVWA Security”。 2. 将安全级别设置为“low”。 3. 返回主界面,选择“Brute Force”模块。 ### 10. 进行Brute Force攻击 1. 在Brute Force模块中,输入一个存在的用户名和猜测的密码。 2. 使用工具(如Hydra或Burp Suite)进行自动化攻击。 通过以上步骤,你可以成功搭建DVWA实验靶场并选择low级别进行Brute Force攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值