一.请完成黑客魔法学院申请表,正式加入黑客团队,源码为逗比表单实验
通过根据burpsuite抓包修改来完成
1、根据源代码可知, name不能是逗比,因为逗比不予录取,所以要修改name。而这里是通过url加密了,所以我们也去加密下
2、年龄需要大于等于18,修改下
3、性别得是nan或者nv,这里sex没有给出来,我是自己补的sex=nan
4、zy和tc只是规定“==”,而不是“!=”,所以咋写都行
5、Host规定为127.0.0.1
6、Referer规定为http://mofaxueyuan.doone.com.cn
7、User-Agent规定为Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A403 Safari/8536.25
二.dvwa的搭建
使用phpstudy搭建DVWA的环境。源码为DVWA实验。
其它我就不细说了,注意这里要改一下:其中的config文件夹中的config.inc.php
这里的db_user和password要改成自己数据库的用户名和密码
三、burp暴力破解
可以参考这篇文章:
https://blog.csdn.net/weixin_50464560/article/details/115286503
burp对DVWA进行密码的暴力破解
先来抓个包
然后发送到Intruder模块
然后Attack Type调成Cluster bomb,将我们输入的用户名和密码变成payload
然后在这里payload set 为1就是要跑用户名,为2就是跑密码
这里可以点击load来加载自己的字典,也可以点击add from list来选burp内置的字典
然后strat attack就行了
成功
来源:freebuf.com 2021-03-29 16:06:06 by: Johnson666
请登录后发表评论
注册