首先,设置浏览器代理:
设置firefox代理之后,通过Burpeuite查看请求,熟悉页面:
查看到的请求内容:
查看历史拦截消息:
下面进行DVWA密码破解,在已知用户名的情况下进行密码破解。设置安全模式为“low”之后,进行破解,输入用户admin,输入密码password,点击登录之后进入Bp:
暴力破解密码,拦截到的登录界面网页请求:
上传自己的字典,并开始攻击:
这时,我们可以在wireshark中查看抓到的内容,进一步理解bp爆破的原理(即不断向网页发送大量请求):
查看攻击结果,可以发现55555的请求长度较其他更长一些:
我们利用55555进行测试,开始攻击:
查看55555的包,并且在原登录界面进行测试后,发现55555确实是真正的密码。