DVWA｜暴力破解

1.通过本机设置。电脑左下角搜索栏直接搜索代理或者在 开始菜单——控制面板——网络与Internet——代理 进行设置。

    2.使用浏览器插件进行设置。火狐浏览器在扩展中搜索代理，插件名为FoxyProxy Standard，设置步骤比较简单，所以不再赘述。

2.打开拦截按钮。流程如下：Proxy——intercept——intercept is on。设置 完毕后在靶场中输入账号密码进行登录，便可以拦截到登陆的请求包。

3.在拦截到请求包界面下鼠标右键选择send to intruder（或者使用快捷键ctrl+L），然后点击intercept按钮关闭拦截状态，否则网页上的数据包无法传输，页面会加载失败。

4.在intruder界面下的positions选项下，点击clear$清除所有的标记，选中需要爆破的值后点击add$进行标记，如图：

5.在payloads选项下选择load加载字典后点击右上角的Start attack进行爆破。字典可以从网上下载或者自己创建一个txt格式的文档并写入需要猜解的密码，密码之间用换行符隔开。通过比较返回包的长度判断出正确的密码为password，因为错误的返回包的长度和正确的返回包长度不一致。

同上操作对登陆的请求包进行拦截，发现请求中多了一个token字段。继续按步骤进行爆破后发现爆破失败。

我们查看第一次登陆的请求包，如图：

在拦截的请求包界面下右键选择Do intercept后释放请求包后会拦截该请求包的返回包，然后查找服务器返回的token值，如图：

如图：

2.password还是通过加载字典进行爆破，在设置参数2的时候需要现在option选项下将Request Engine的Number of threads值设置为1，并勾选Grep-Extract。如图：

3.点击add添加，之后点击fetch response获得返回包，搜索“token”进行快速定位，复制token的值。如图：

4.回到Payloads界面设置Payload Type为Recursive grep并将复制的token值填到图一位置，便可以开始爆破。

impossible的难度下几乎很难再进行暴力破解，但是可以了解其防御手段作为防止方法。

1.检验token值防止CSRF攻击。

2.过滤转义用户输入的username和password。

3.使用pdo（php data object）防止sql注入。

4.登陆失败三次后锁定15分钟。

5.登陆失败后，随机在2-4秒后返回错误信息。