本帖最后由 adds 于 2022-1-12 20:11 编辑
一、DVWA登录暴破 1、打开链接
思路:这个可以先尝试万能密码进入,也可以使用爆破。我们使用爆破。
2、截取post包。重放。 启动burpsuit,配置proxy,截取到登录数据。
我们截取到了username和password两个字段,这里没有经过base64等方式进行加密,所以直接重放即可。
在intruder模块下,将username和password两个字段的数据使用$进行标注。
配置相关参数,加载字典:
开始跑字典后,发现没有跑出来:
我们单独跑密码,使用默认的账号**试下。
更换了个字典,观察提交的包,发现里面提交的没有问题。
观察web登录页面,可以发现有一长串报错:
还是报错, 一般测试环境不会搞很复杂的密码吗?更换了个万字密码依旧报错。 观察下报错。 发现有很多302的报错。
我们配置下选项,选择跟随跳转。 默认的Follow redirectons是Never。
然后再试:
这次所有的Status均是200。
出现了一个“length”与其他不一样的字段。 尝试使用这个密码登录。 登录成功。
3、注意 在中间发现一直报302报错,无法爆破成功时,尝试了repeater功能。 即手工修改password字段,观察response。 发现依旧会报302,输入正确的密码也报。
怀疑是cookie的问题。
当重新再刷新页面抓包,再抓到的cookie值依旧一样,排除了是cookie的问题。
二、吐嘈 1、近期干某部门的活把人整疯了。我要吐嘈下。 10点给我发信息,要统计数字。是有困难的,因为我要把几十个文档都查看一下,然后再统计。 都是打工人,同苦。  三、阿里云 1、创建云主机 选择相关参数:
创建完成:
运行实例:
点击“远程连接”可以登录。
2、OSS对象存储 这个适用于使用自己的镜像文件的,这里使用的是qcow2的文件。 (1)创建bucket
创建完成:
(2)上传qcow2文件
上传完成:
镜像的URL:
(3)创建虚拟机 导入镜像
填定购买参数:
创建成功:
实例:
这个我搞了一天,怎么创建都不行,一开始怀疑是镜像的问题,后来发给我镜像的人说他在本地校验的MD5和U盘拷给我的是一样的,阿里云客服就说正常创建没有问题,是镜像问题,折腾了一天才发现是研发给错了。到哪里说理去。
配置文档见附件。 | 
楼主
发表于 2022-1-12 20:46
坚持每日学习打卡
技术专家3级 
