DVWA之暴力破解之high級別low和medium級別

來源：CSDN 時間：2023-04-24 08:28:13

(資料圖片)

DVWA之暴力破解之high級別

low和medium級別的這里就不在多說，CSDN里面有很多，大家一看都能看懂，這里我重點強調(diào)的是high等級的暴力破解

phpstudy和DVWA 環(huán)境查看我的上篇文章

首先在瀏覽器開啟代理，同時在burpsuite也開啟代理

下面將DVWA的等級調(diào)為high，然后進(jìn)入暴力破解模塊，在username位置輸入admin，password的位置隨便輸入

我們發(fā)現(xiàn)比low 和medium多了個user_token參數(shù)，直接將抓取的數(shù)據(jù)包發(fā)送到intruder模塊

進(jìn)入到intruder模塊之后，target模塊不用設(shè)置，

opsitions模塊需要把attack type改為pitchfork,clear清除所有的字段，然后依次選中password和user_token后的內(nèi)容然后選options，進(jìn)去字后將thread改為1，如若>1可能會出現(xiàn)問題，下拉找到Grep-Extract,意識是用于提取響應(yīng)消息中的有用信息，我們選中它，然后點擊Add，點擊refetch response刷新請求信息，選中服務(wù)器返回的token中的參數(shù)選中，并復(fù)制，然后點擊OK 接下來就要設(shè)置payloads選項了，給password添加字典，這里就不在贅述了，下面就要將payloads的參數(shù)選擇2，將第二個參數(shù)選擇Recursive grep（表示將服務(wù)器每次返回的數(shù)據(jù)來替換paylaod中的變量，這里用來每次替換user_token的值），然后將剛才復(fù)制token的值粘貼進(jìn)去最后點擊start attack攻擊爆破，結(jié)果如下圖所示

查看了high級別的源碼后，可以看出做了CSRF防御，但是并未做是按照頻次活賬戶鎖定機制，雖然增加了難度，但依舊可以爆破

不知道是哪個密碼，我們可以點擊resopnse中的render查看頁面。

責(zé)任編輯：

標(biāo)簽：

上一篇：javac配置成功了嗎？Java JDK path環(huán)境變量配置-環(huán)球百事通
下一篇：最后一頁

相關(guān)推薦：

精彩放送：