渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

zevseo
8220zevseo大版主
2018-09-03 03:21:19
8220 2018-09-03 03:21:19
在本文中,我们将学习如何从BurpSuite利用字典攻击。我们将尝试破解DVWA Lab的密码
Burp Suite: Burp Suite是一个用于执行Web应用程序安全性测试的集成平台。它的各种工具可以无缝协同工作,支持整个测试过程,从应用程序攻击面的初始映射和分析,到查找和利用安全漏洞。
Burp为您提供完全控制,让您将先进的手动技术与最先进的自动化相结合,使您的工作更快,更有效,更有趣。重要的是,它为我们提供了另一种管理攻击的方法,可以替代metasploit。
要使Burp Suite正常工作,首先,我们必须打开手动代理,然后转到settings并选择“首选项(Preferences)”。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


然后选择高级(advanced选项,进一步转到网络(Network),然后选择设置(Settings.
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


现在,选择手动代理配置(Manual proxy Configuration
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


这样您的手动代理也将处于活动状态,如下所示。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


现在,另一方面打开DVWA并使用其默认用户名和密码登录。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


登录后,单击“ 暴力破解(Brute Force)”。并确保安全性低或中等。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


当您点击暴力时,它会询问您的用户名和密码。在这里,在给用户名和密码打开burp suite之前,选择Proxy选项卡,然后单击Interception on on / off选项卡打开拦截。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


当您打开拦截时,请提供您喜欢的任何密码,以便Burp套件可以捕获它。
通过右键单击空白并选择Send to Intruder选项或仅按ctrl + i将捕获的材料发送到入侵者
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


现在打开Intruder选项卡,然后选择Positions选项卡,将显示以下内容:
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


选择攻击类型(Attack type 作为群集炸弹(Cluster Bomb.
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


现在选择用户名密码,如下所示:
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


在上面的图像中,我们选择了用户名和密码,这意味着我们需要两个字典文件,一个用于用户名,另一个用于密码。
所以,现在去有效载荷选项卡(Payloads tab,并选择1有效载荷设置(Payload set(这个“1”表示该用户名的文件)。然后单击“ 加载(Load)”按钮,浏览并选择(browse and select用户名的字典文件。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


现在在Payload set 选择2,再次类似地给出密码的字典文件。
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


现在,您只需进入入侵者菜单(Intruder menu),然后从下拉菜单中选择开始攻击(Start attack
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


坐下来放松,因为现在burp套件将完成其工作并匹配用户名和密码,并将为您提供正确的密码和用户名。它将找到正确值的那一刻,它将改变长度值,如下所示:
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


并从响应中确认它,因为它将是“欢迎使用密码保护区管理员(Welcome to the password protected area admin)”
渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码

描述:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码


这一切渗透测试工具教实战教程都完成了,Burpsuite暴力破解DVWA lab后台登陆密码。
本文标题:渗透测试工具教实战教程:Burpsuite暴力破解DVWA lab后台登陆密码
本文作者:zevseo
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t2222.html
游客
登录后才可以回帖,登录 或者 注册
weixin
蚁安蚂蚁堆

找工具、找教程、找朋友,你想不到的这儿都有!

微信号:baiyiwangan