首页 博客 留言 归档 关于

DVWA-Brute Force(暴力破解)

安全   2025-07-08 11:05   29   0  




  1. 设置安全等级为low


    7508_5tuu_5207.png

  2. 点击暴力破解查看源码

7606_q3zx_2013.png

7630_qmt9_6646.png

3.分析源码存在以下问题

  • • 使用GET方式传输敏感数据

  • • 直接拼接用户输入到sql语句中

  • • 密码使用md5加密

  • • 没有登录次数限制

4.使用burp抓包并在DVWA中输入任意账号密码,点击login

8784_dhoo_8744.png

8807_xkqk_3124.png

5.出现如下结果则表示抓包成功,快捷键ctrl+i发送请求到攻击模块

8841_sobk_3701.png

8864_siu5_9485.png

6.单击清除payload位置,给password值添加payload位置,猜测存在admin用户,选择攻击模式为Sniper攻击

  • • Sniper模式:对变量依次进行爆破,设置一个爆破点

  • • Battering ram模式:对多个变量同时进行爆破

  • • Pitchfork模式:每个变量对应一个字典,一一对应进行爆破

  • • Clusterbomb模式:每个变量对应一个字典,交叉爆破,尝试各种组合

8884_dnek_1992.png

7.设置payload,payload类型选择简单列表,payload配置点击导入添加字典文件,设置完成后点击开始攻击

9294_j81k_6666.png

8.在攻击结果界面发现有个请求长度不一样,页面出现Welcome to the password protected area admin字样,说明爆破成功,密码为passwordmedium等级与上述操作类似,medium等级中增加登录失败暂停2秒              




上一篇
While命令
下一篇
DVWA环境搭建
博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。
分类
Linux (9)
网络 (2)
安全 (3)
K8S (7)
兴趣 (0)
其他 (3)
最新博客
解决苹果网络问题
原神API
Linux内建命令
Linux常用命令
Shell-expr命令