0
点赞
收藏
分享

微信扫一扫

DVWA之暴力破解

一ke大白菜 2022-04-25 阅读 78
安全

(LOW)等级

1通过源码发现并没有对登录做限制,可尝试万能密码登录,也可burp抓包破解

右键发送到Intruder模块进行下一步;

将原有标记值清除Clear,箭头所指保留即可;

 添加字典,我这里就直接load文件了

 1为账号,2为密码,添加完成点击 Start 开跑;

最后长度与其他不一样的就是正确密码;

(medium)等级

 这里标注的意思是是没登陆失败密码错误是会睡眠2s,还是同样操作,不过就是比上一次慢点;

 这里还是可以跑出的我就不浪费时间了;

这里出了点小插曲,虚拟机崩了,嘿嘿,里面有些小玩意作祟(:);

我又换到了我的服务器继续;

(high)等级

在源码中我们可以看到,在上一个等级中又加入了token认证,所以每次登录都需要提交name、password、token ,打开burp抓包;

类型选择Pitchfork,这个模式可以同时爆破多个参数;

 选择Recursive grep类型

 点击,Refetch response 框选value中的数字,点击ok

 

勾选always;

 粘贴token;点击Start attack开始破解;

  • recursive grep payloads cannot be used with multiple request threads
  • 这里给我报错是因为线程缘故,这里修改为单线程,start;

 

 成功找出账号密码!

举报

相关推荐

0 条评论