DVWA平台熟悉以及利用BurpSuite进行暴力猜解



利用Burp Suite进行暴力猜解：

要用Burp Suite做数据包拦截，先对浏览器以及Burp
Suite进行设置：
 Windows下，进入Internet选项，在连接Tab中的局域网设置内，设置代理服务器，设置地址以及监听端口，在Burp
Suite中，在Proxy的Option内设置要监听的地址及端口：



在浏览器中进入DVWA页面（此处DVWA平台的安全等级为low）：



输入用户名，密码可随便输入，login，此时Burp Suite可截获数据包：



对password转入Intruder进行标记，



设置playloads为Runtime file，并且选择已编辑好的密码字典，开始攻击:



其中密码字典为：
 



（最后的password为正确密码）
可得到每个密码的结果，其中password的Response中的Location为index.php，即可跳转至该页面，而其余的Location仍旧为login.php，未能跳转。其实还可以设置跟随Burp
Suite跟随页面跳转，那么得到的结成功与否在length上会有很大的差别，根据length判断是否成功。



能实现这种爆破是有前提的：
1.登录界面没有验证码。
2.登录过程没有错误三次后XX分钟内不可登录的限制。