iT邦幫忙

2021 iThome 鐵人賽

DAY 12
0
Security

三人要保密,一個人要學好資安系列 第 12

DVWA練習-Brute Force

後面的內容為自己的學習筆記
說明內容可能會較前面的文章少蠻多的

今天使用的工具是Burp
詳細的設定及操作可以參考HackerCat的
Web滲透測試 - Burp Suite 完整教學


暴力破解(Brute-force)為一種窮舉攻擊,會將密碼逐一推算後,直到找出真正的密碼。

確認目前的級別(Low)後選擇Brute Force

首先嘗試以Username:admin/Password:123
送出後得到結果如下:

開啟Burp來做攔截,並點選Action送至Intruder

進入Intruder後點選Position
先選擇右方的clear將所有綠底的欄位清除

在要進行暴力破解的參數欄位點選Add,結果將呈現綠底
我們選擇於password原本輸入123的這個位置添加綠底。

選擇payload字典檔的清單,也可以自己刪減
以下字典檔清單路徑為/usr/share/wordlists/wfuzz/others/
完成後點選右上方了Start attack

送出後等待字典檔進行暴力破解,查看Length結果字數
當中不一樣的字數結果可能為密碼。

如下圖嘗試的密碼回傳字數為4666
但第31項的password結果為4704。

結束後回到Proxy點選Forward送出
送出後得到的結果如下:登入成功

Username:admin
Password:password 


今天是關於暴力破解的小小練習
第一次在使用時
設定Burp花的時間比暴力破解還來得久~


上一篇
docker上建立測試環境DVWA
下一篇
DVWA練習-Command injection
系列文
三人要保密,一個人要學好資安30

尚未有邦友留言

立即登入留言