一、实验项目名称

web渗透测试实战-暴力破解（low、medium、high）

二、实验目的及要求

熟悉常见web漏洞。

熟悉通过burp进行暴力破解。

三、复现步骤

1、在虚拟机win7中打开phpstudy

启动phpstudy

 2、查看win7的IP（网络NAT模式）192.168.232.144

 3、在火狐设置代理并安装证书

搜索“代理”

下载证书 访问127.0.0.1:8080

搜索“证书” 导入刚下载的证书

 4、在火狐增加扩展 FoxyProxy，添加并保存

 

保存后在火狐浏览器右上方可以看到此标

 

 5、在火狐浏览器访问win7的ip 192.168.232.144

用户名：admin  密码：password 登录 DVWA

6、打开Burp

7、在DVWA设置爆破等级 

 8、登录

 9、打开拦截

 10、刷新登录页面或者重新登录

 11、接着在burp中会弹出

 12、在空白区域右键选择 发送给Intruder

 13、接着会发现测试器亮了

 14、进入测试器--位置，清除双$符号

 15、在password左右添加双$

 16、设置有效载荷

 17、开始攻击

 18、查看长度正序倒序，长度和其他的不一样的，如下图是5324，那么密码就是password

 

19、再回到火狐浏览器，关闭代理

20、调整爆破等级到Medium

21、再次登录

22、打开代理

23、刷新登录

24、在Burp中查看（由于中途关闭过电脑，win7的ip地址有变化为192.168.232.147）

 25、可选中此条记录，右键发生给intruder

26、medium 爆破其他操作和12-18的操作一样

········

27、medium 爆破结果得出密码password

 

 28、high爆破在 burp中操作有所不同

high爆破结果