所有的工具都***享壹個能處理並顯示HTTP 消息,持久性,認證,代理,日誌,警報的壹個強大的可擴展的框架。
Proxy——是壹個攔截HTTP/S的代理服務器,作為壹個在瀏覽器和目標應用程序之間的中間人,允許妳攔截,查看,修改在兩個方向上的原始數據流。
Spider——是壹個應用智能感應的網絡爬蟲,它能完整的枚舉應用程序的內容和功能。
Scanner[僅限專業版]——是壹個高級的工具,執行後,它能自動地發現web 應用程序的安全漏洞。
Intruder——是壹個定制的高度可配置的工具,對web應用程序進行自動化攻擊,如:枚舉標識符,收集有用的數據,以及使用fuzzing 技術探測常規漏洞。
Repeater——是壹個靠手動操作來補發單獨的HTTP 請求,並分析應用程序響應的工具。
Sequencer——是壹個用來分析那些不可預知的應用程序會話令牌和重要數據項的隨機性的工具。
Decoder——是壹個進行手動執行或對應用程序數據者智能解碼編碼的工具。
Comparer——是壹個實用的工具,通常是通過壹些相關的請求和響應得到兩項數據的壹個可視化的“差異”。
(以上來自 百度百科 )
DVWA(Damn Vulnerable Web Application)是壹個用來進行安全脆弱性鑒定的PHP/MySQL Web應用,旨在為安全專業人員測試自己的專業技能和工具提供合法的環境,幫助web開發者更好的理解web應用安全防範的過程。
首先,我們設置壹下瀏覽器的代理ip。ip為127.0.0.1,端口為8080。
這裏我用的是火狐瀏覽器的代理ip插件。
接下來,我們來到網站後臺登錄頁面,填寫賬號、密碼,密碼隨便寫(正確密碼為password),我這裏就寫123456吧。
然後開啟Burp Suite的攔截功能。
回到網站,點擊Login登錄。Burp Sutie已經攔截到數據包。
我們在數據區域點擊鼠標右鍵,把數據包發送到Intruder模塊。
我們來到Intruder模塊的Positions,點擊Clear$,然後選中“123456”,點擊Add$。
接下來,我們來到Payloads功能。
我們可以添加密碼字典,
也可以選擇導入字典文本。
壹切準備就緒,我們開始爆破吧。
跑好了
我們點擊Length
正確的密碼已經跑出來了。