1、安装Phpstudy环境搭建
下载链接https://wwig.lanzoue.com/iIN142esjiob
密码:4zuz
DVWA靶场文件下载链接:https://wwig.lanzoue.com/iMr9u2esjire
密码:49ag
文件下载好后开始搭建
1.1小皮面板
打开小皮
点击一键启动WNMP启动数据库和nginx
1.2文件修改
点击管理找到最下行的网站根目录,把DVWA靶场文件拖进去
找到最上面的config文件夹
删除后缀名dist改为php后缀名,右键选择编辑文件
修改密码为数据库密码
修改数据库密码在上图所述
1.3数据库连接以及页面登录
默认账号:admin 默认密码:password
点击创建数据库,创建好后就可以开始练习了
2.开始练习
2.1防护等级修改
把安全防护等级修改成低,不然无法完成爆破
2.2burpsuite爆破
BurpSuite V2023.5.1.zip官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘
打开内置浏览器,这样就不需要再在浏览器上扩展代理插件了
在用户名和密码里面随便输一些,用于之后爆破,输完后不要立即点击login登录,打开burpsuite的代理拦截
点击登录
拦截到了,接下来就开始爆破,右键放到Intruder
攻击模式改为集束炸弹,不要使用默认的狙击手,为用户名和密码添加payload位置
payload集改为2,添加爆破字典,此为演示,可以从网上下载web爆破字典使用从文件加载添加
开始攻击
2.3如何查看是否爆破成功
查看状态码是否为200服务器接收成功,查看长度是否与其他不一样,爆破的方法不适用于有验证次数的网站,多次爆破会被封锁账户登录和IP地址登录,再来看第一行请求的长度大于其他请求长度
可以在页面渲染直接查看是否爆破成功,下面是对比图
OK,爆破成功实验结束,谢谢大家观看
标签:爆破,登录,数据库,Brute,DVWA,密码,点击,Force,下载 From: https://blog.csdn.net/yubaibai618/article/details/143678474