课程名称：

E054-web安全应用-Brute force暴力破解进阶

课程分类：

web安全应用

实验等级:

中级

任务场景:

【任务场景】

小王接到磐石公司的邀请，对该公司旗下的网站进行安全检测，经过一番检查发现该网站可能存在弱口令漏洞，导致渗透者通过暴力破解登录后台。为了让公司管理人员彻底的理解并修补漏洞，小王用DVWA情景再现。

任务分析:

【任务分析】

弱口令常常是人的疏忽造成的，有的人会图方便就把密码设置得很简单，这样会导致渗透者通过暴力破解的方式把密码给破解出来。

预备知识:

【预备知识】

通过Burp抓取登录的请求包，然后通过字典对登录点进行一一尝试，根据返回的字节判断，哪个密码是正确的。

---------------------------------------------------------------------------------------------------------------------------------

任务实施:

E054-web安全应用-Brute force暴力破解进阶

任务环境说明：

服务器场景：p9_kali-2（用户名：root；密码：toor）

服务器场景操作系统：Kali Linux

服务器场景：p9_ws03-3（用户名：administrator；密码：123456）

服务器场景操作系统：Microsoft Windows2003 Server

---------------------------------------------------------------------------------------------------------------------------------

网络结构拓扑

---------------------------------------------------------------------------------------------------------------------------------

实战复现

        打开火狐浏览器，在地址栏输入靶机的地址访问网页，使用默认用户名admin密码password登录：

在DVWA页面点击“DVWA Security” 选择难易程度为“Medium”，然后点击“Submit”提交

在导航栏点击Brute Force进入登陆框页面：

        打开浏览器代理：工具——选项——高级——网络——连接——设置——手动配置代理，IP地址设置为127.0.0.1，端口设置为8080(Burp默认代理端口为8080)

打开Burp：选择Proxy——Intercept——Intercept on，打开代理

burpsuite

实验结束，关闭虚拟机。