DVWA在kali上的安装教程
按照下面教程上的步骤来就可以。
https://www.cnblogs.com/JetpropelledSnake/p/9128613.html
四种攻击方式:
Sniper标签这个是我们最常用的,Sniper是狙击手的意思。这个模式会使用单一的payload【就是导入字典的payload】组。它会针对每个position中$$位置设置payload。这种攻击类型适合对常见漏洞中的请求参数单独地进行测试。攻击中的请求总数应该是position数量和payload数量的乘积。
Battering ram – 这一模式是使用单一的payload组。它会重复payload并且一次把所有相同的payload放入指定的位置中。这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况。请求的总数是payload组中payload的总数。简单说就是一个playload字典同时应用到多个position中
Pitchfork – 这一模式是使用多个payload组。对于定义的位置可以使用不同的payload组。攻击会同步迭代所有的payload组,把payload放入每个定义的位置中。比如:position中A处有a字典,B处有b字典,则a【1】将会对应b【1】进行attack处理,这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入的情况。请求的数量应该是最小的payload组中的payload数量
Cluster bomb – 这种模式会使用多个payload组。每个定义的位置中有不同的payload组。攻击会迭代每个payload组,每种payload组合都会被测试一遍。比如:position中A处有a字典,B处有b字典,则两个字典将会循环搭配组合进行attack处理这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。攻击请求的总数是各payload组中payload数量的乘积。
1、LOW等级暴力破解
首先,我们将安全级别设置为Low进行破解,选择左侧DVWA Security选项,下拉框选Low并提交,然后选择Brute Force。
首先随意填写账号,密码,点击登录。
我们可以看见提示Username and/or password incorrect.
然后我们可以看抓包
分析代码我们可以看见后台发出一个get请求,没有做任何防护。
在Burp Suite中得到请求代码,全选按Ctrl+I或者点击鼠标右键Send to Intruder。
然后就是简单的暴力
切换到Intruder选项卡,选择Positions,点击右侧Clear,然后选中账号,密码,点击Add,然后挑选attack type ,结果如图。
点击Payloads,在Payload set中选择第几个需要暴力破解的参数,我们这里只有两个,在下面选择Load加载字典文件(*.txt格式),然后点击Start attack;
我们爆破完之后点击lenght,我们可以看到账号admin,密码password的返回长度和其他不一样,证明admin,password就是正确的账号,密码;
我们可以用我们得到的密码,账号登录。
2、Medium等级暴力破解
首先我们设置等级为Medium
中等等级的暴力破解和低等级的相同,只是低等级的暴力破解可以进行sql注入,而中等级的把其中的字符串给过滤掉了,但是操作相同。
打开Burp Suite进行抓包。
接下来的操作与low等级一样,这里不进行操作了。
3、High等级暴力破解
首先调节等级High
然后我们在对应的端口随便登录,看抓包
我们发现增加了一个user_token参数
然后将抓到的包发送到intrude,选择攻击模式为pitchfock,并且给要破解的项带上变量符号。
接下来我们进行关于token值的设置,点击Options,在Grep-Extract中点击add
找到token,点击token值后,它就会自动生成红框中的值,然后点击ok
点击payloads,payload set中1和2的设置和之前一样,就是选择密码字典
不过唯一不同的是
payload set:3中,payload type选择Recursive grep类型,然后在红框中输入bp抓包时,抓取到的token值(也就是user_token的值)
在Options中,把多线程改为1也就是单线程,同时在Options 中找到 Redirections设置为Always
做完这一切我们就可以破解了
4、impossible级别
impossible级别在high级别的基础上对用户登录次数进行了限制,当用户登录失败3次后,后台就会锁住账号,在15分钟之内无法进行任何的操作
当然它对SQL漏洞防御也用安全的机制。
Impossible Level几乎是不可能注入或者暴力破解。(有厉害的大佬除外)