DVWA练习(Brute-Force)
Brute Force-Low
随便输入,burpsuite抓取,发送到instuder,选取爆破目标
选择爆破方式,这里选择Cluster bomb适用于两个参数的爆破
分别设置两个参数的爆破格式,选择simple list,添加爆破字典
开始爆破,length降序排序找到唯一不同的页面,就是账号和密码
Brute Force-Medium
当账号密码错误时,页面延迟两秒再显示,猜测后台存在延时sleep()函数,同样使用burpsuite爆破
取最长返回页面为正确账号密码
Brute Force-High
抓包发现增加了一个user-token,增加了爆破难度
选中爆破目标,选择爆破方式Pitchfork
设置字典
设置单线程
开始爆破,得到密码
