本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。
本文基于burp抓包软件针对dvwa靶场进行弱口令爆破测试。
靶场设置:
在DVWA Security中,设置安全等级,并保存。
打开靶场。
1,抓包。
可以知道,在当前级别,使用明文进行传参,并无任何防御机制。
2,爆破单个目标。
找到包含用户名和密码的数据包,右键将其发送到intruder。
因为是仅针对密码进行爆破,所以攻击类型选择狙击手,选中要爆破的内容后,点击添加payload位置。
因为针对单个密码进行爆破,所以payload集合为1,类型为简单列表。
在payload settings 中,选择字典(此处为了节省时间,密码为最后一项:password)。
一切准备就绪,点击开始攻击。
观察返回值,其中password与其他值完全不一样,他很有可能就是密码。
经测试,确认其就是正确密码。
3,同时爆破多个目标。
攻击方式选择集束炸弹,将用户名和密码都添加payload位置。
设置第一个爆破目标,将其设置为从文件加载的简单列表。
第二个的设置与第一个相同。
此处为了节省时间,数据量较少,并且一定包含正确结果。
点击开始攻击。
这两项的返回值与其他完全不一样,经测试,确认其为正确结果。
