DVWA练习-Brute Force

後面的内容为自己的学习笔记
说明内容可能会较前面的文章少蛮多的

今天使用的工具是Burp
详细的设定及操作可以参考HackerCat的
Web渗透测试 - Burp Suite 完整教学

暴力破解(Brute-force)为一种穷举攻击，会将密码逐一推算後，直到找出真正的密码。

确认目前的级别(Low)後选择Brute Force

首先尝试以Username:admin/Password:123
送出後得到结果如下：

开启Burp来做拦截，并点选Action送至Intruder

进入Intruder後点选Position
先选择右方的clear将所有绿底的栏位清除

在要进行暴力破解的参数栏位点选Add，结果将呈现绿底
我们选择於password原本输入123的这个位置添加绿底。

选择payload字典档的清单，也可以自己删减
以下字典档清单路径为/usr/share/wordlists/wfuzz/others/
完成後点选右上方了Start attack

送出後等待字典档进行暴力破解，查看Length结果字数
当中不一样的字数结果可能为密码。

如下图尝试的密码回传字数为4666
但第31项的password结果为4704。

结束後回到Proxy点选Forward送出
送出後得到的结果如下：登入成功

Username:admin
Password:password 

今天是关於暴力破解的小小练习
第一次在使用时
设定Burp花的时间比暴力破解还来得久~