暴力破解之DVWA
常見攻擊流程
常見分類
B/S架構暴力破解包含如下分類
登錄框
URL參數(用戶ID值,目錄名,參數等)
驗證碼
C/S架構暴力破解
Windos遠程桌面
SSH遠程管理
數據庫賬號密碼(MYSQL,MSSQL,Oracle)
FTP賬號密碼
危害
B/S架構常見檢測方式
C/S架構常見檢測方式
burp四種暴力破解類型:
sniper 一個字典,兩個參數,先匹配第一項再匹配第二項
Battering ram 一個字典,兩個參數,同用戶名同密碼
Pitchfork 一個字典,兩個參數,同行匹配,短的截至
Cluster bomb 兩個字典,兩個參數,交叉匹配,所有可能
輸入用戶名,密碼
然後用burpsuite進行攔截
將表單進行提交到intruder模塊,並將password設置爲我們破解的payload
Burpsuite會自動設置許多變量,單擊“Clear”按鈕,把默認變量全部清除,然後選中密碼123,單擊“Add”按鈕將之設爲需要破解的變量。
設置字典文件。