DVWA学习篇一：暴力破解

1 测试环境介绍

1、使用Burpsuit工具进行暴力破解

2、测试环境为OWASP环境中的DVWA模块

2 测试步骤

2.1 设置浏览器代理

首先运行Burpsuit工具，设置监听地址和端口，然后在浏览器里面设置好代理IP和地址。如下图：

2.2 抓取登陆页面数据

开启Burpsuit拦截功能，抓取登陆页面登陆账号和密码，这个密码实际是错误的，后面我们需要爆破的就是这个密码。

2.3 发送到***模块（Intruder模块）

在刚刚拦截到的请求页面右击选择发送到***模块中去。

2.4 ***模块设置参数

选择Intruder菜单进入***模块，点击"Position"，然后点击右侧的"clear$"把所以参数都清楚掉，选择username、password字段，然后点击"Add$",这表明后面只需要包括这两个字段，如果要爆破多个字段内容，一样的操作方法。

选择***模式，选择"cluster bomb"。

2.5 设置***字典

点击"payloads"菜单进入设置***字典，***字典密码可以通过一个个的添加密码，也可以加载密码字典。Payload set列的1表示是username字段内容，2表示是password字段内容，这个顺序是根据前面positions设置的参数的顺序决定的。

2.6 开始***

点击"start attack"进行***。***后会弹出一个窗口。

2.7 ***结果分析

从结果分析出length字段有一行的值跟其他行的值是不一样的，那么那个不一样的就是最终的结果，也就是本测试中的5075值的行是正确的密码，密码是admin。爆破成功。