DVWA之暴力破解之high級別low和medium級別

來源：CSDN 時間：2023-04-24 08:28:13

(資料圖片)

DVWA之暴力破解之high級別

low和medium級別的這里就不在多說，CSDN里面有很多，大家一看都能看懂，這里我重點強調的是high等級的暴力破解

phpstudy和DVWA 環境查看我的上篇文章

首先在瀏覽器開啟代理，同時在burpsuite也開啟代理

下面將DVWA的等級調為high，然后進入暴力破解模塊，在username位置輸入admin，password的位置隨便輸入

我們發現比low 和medium多了個user_token參數，直接將抓取的數據包發送到intruder模塊

進入到intruder模塊之后，target模塊不用設置，

opsitions模塊需要把attack type改為pitchfork,clear清除所有的字段，然后依次選中password和user_token后的內容然后選options，進去字后將thread改為1，如若>1可能會出現問題，下拉找到Grep-Extract,意識是用于提取響應消息中的有用信息，我們選中它，然后點擊Add，點擊refetch response刷新請求信息，選中服務器返回的token中的參數選中，并復制，然后點擊OK 接下來就要設置payloads選項了，給password添加字典，這里就不在贅述了，下面就要將payloads的參數選擇2，將第二個參數選擇Recursive grep（表示將服務器每次返回的數據來替換paylaod中的變量，這里用來每次替換user_token的值），然后將剛才復制token的值粘貼進去最后點擊start attack攻擊爆破，結果如下圖所示

查看了high級別的源碼后，可以看出做了CSRF防御，但是并未做是按照頻次活賬戶鎖定機制，雖然增加了難度，但依舊可以爆破

不知道是哪個密碼，我們可以點擊resopnse中的render查看頁面。

責任編輯：

標簽：

上一篇：javac配置成功了嗎？Java JDK path環境變量配置-環球百事通
下一篇：最后一頁