DVWA靶场Low级别Brute Force学习

1、Burpsuite初探

最开始遇到的问题是代理设置:设置好了之后发现无法拦截包,后来发现是因为浏览器中有一串小英文,说针对127.0.0.1和local永远不使用代理(如下图);后来查看本机地址访问靶机,结果发现刷新页面,地址又会自动变成127.0.0.1,问题仍然没有解决。

折腾了很久,搜了也有其他方式能解决,但是搜资料的时候发现,直接使用burp自带的浏览器不用设置代理,后面就没有继续倒腾,直接使用自带浏览器进行学习了。

2、intruder爆破

(1)拦截到包之后,发送到intruder模块。我的burpsuite是英文版本的,截图如下:

(2)发送到intruder模块后,具体如下图,需要先点击clear(红色圈出的地方1),这样会清除参数。紧接着选择你要爆破的参数,如下图中黄色圈出的地方,点击add(红色圈出的地方2),参数会被特殊符号包裹。截图中admin已点击add,password还没点击。

(3)设置完要爆破的参数后,需要选择爆破模式和上传爆破对应的字典。

折腾intruder模块时学习了怎么设置爆破的参数,怎么上传字典,以及四种爆破模式。具体的设置如下图,设置完之后点击Start attack。

(4)点击了Start attack后,发现没反应,实际上是在后台运行(如下图)。后来发现爆破速度特别慢,是因为burp社区版进行了限速。搜资料发现可以安装插件。

3、Turbo Intruder插件探索

(1)紧接着搜到可以安装插件Turbo Intruder,后面就开始安装插件(安装如下图),搜索到直接点击"install"即可。下面的截图是已经安装后的界面。

(2)安装完插件后,将拦截的包发送到Turbo Intruder ,如下图。

(3)插件设置参数和上传字典(使用脚本)的方式和intruder模块不一样。将要爆破的参数改为%s,Turbo Intruder 会把你字典里的每个值依次替换到 %s 的位置。如果你想爆破用户名,就把 admin 换成 %s。选择好脚本之后,attack在最下面,点击即可。

结果很快就出来了。爆破出来的结果,lenth和words和其他不一样的就是爆破出来的密码。因此password就是密码。

下面附我用的爆破脚本:

python 复制代码
def queueRequests(target, wordLists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=5,
                           requestsPerConnection=100,
                           pipeline=False
                           )

    # 从文件读取密码字典
    with open('/home/kali/Documents/jianyizidian.txt', 'r') as f:
        for word in f:
            word = word.strip()  # 去掉换行符
            engine.queue(target.req, word)

def handleResponse(req, interesting):
    table.add(req)
相关推荐
渣渣灰飞1 小时前
MySQL 系统学习 第五阶段:企业级 MySQL 实战开发 第二章:RBAC 权限系统设计
android·学习·mysql
白帽小阳1 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
六bring个六1 小时前
open Harmony中分布式软总线的学习任务清单
分布式·学习·c/c++·open harmony
精神底层2 小时前
AI 学习笔记:研究方法的演变
人工智能·笔记·学习
依然范特东2 小时前
RAG学习总结3--检索技术
笔记·学习
白帽小阳2 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
代码游侠2 小时前
PCBA板基础知识
学习·pcb工艺
QQ骞3 小时前
【ECU-HIL 嵌入式车载软件测试学习路线和面试描述方式(1)】
学习·面试·职场和发展
kdxiaojie3 小时前
Linux 驱动研究 —— I2C (5)
linux·运维·笔记·学习
茯苓gao5 小时前
机器人产业的三级火箭:卖电机、卖模组与卖整机,三种商业模式的终局推演
笔记·学习·机器人