【每日一记8】+第8天+DVWA口令爆破

「每日一记」目前已开展8期，已有近300余位工程师参与并坚持不懈的进行技能输出，征集到4000余篇技术笔记，共派发出近800000+S豆，送出32份精美好礼！>>【每日一记】第9期正在进行中

根据上一章搭建DVWA本章利用BurpSuite 对DVWA第一个模块进行弱口令爆破。

仅供参考学习~~~

Burp Suite 是用于攻击web应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

首先下载Burrp

运行burp-loader-keygen.jar----Run

登录DVWA默认密码**/password

点击至口令爆破模块

设置代理127.0.0.1 8080

随便输入账号密码登录，发现已经没有反应说明数据被已经被代理到brup

点击至Intruder

清除

选中password

切换至Payloads，选择密码字典可以一个个添加也可以添加至txt批量导入(字典可以百度搜索)

开始进行口令爆破，并进行排序发现除了password其他的Length都是5493；可以判断密码为xxxx测试登录

访问成功

查看源码发现没有对数据过滤，可能存在万能密码：xxxx'#可以测试这个账号发现不用密码也可以直接登录

本次测试到这里结束啦，不过利用brup只能针对于网站进行口令爆破，并不能对应用程序进行爆破。

如有不足多多担待哈~

感谢分享

感谢分享~

感谢分享~

感谢分享。