Web安全 暴力破解 的详细步骤.

Web安全 暴力破解 的详细步骤. 暴力破解的原理：就是攻击者使用自己的账号和密码作为一个字典，一个一个去尝试，看看是否能够登录成功，因为理论上来讲，只要字典足够庞大，就可以破解成功的！

工具：Burp和OWASP浏览器

OWASP浏览器：链接：https://pan.baidu.com/s/1jAKj5SSmApo23xdgQK-yig 
                            提取码：tian 

Burp：可以使用kali中的Burp.

本地自己搭建的DVWA靶场：安装在win XP（IP地址：192.168.0.104） 

DVWA靶场搭建链接： DVWA的靶场搭建_半个西瓜.的博客-CSDN博客

第一步：（1）设置代理服务器（我用的是：OWASP浏览器，也可以用别的浏览器 设置代理服务器就行）：

                （2） 新建代理服务器，选择手动代理  设置127.0.0.1（为本地的IP地址），设置代理的端口8080

                （3）使用刚刚设置的代理

第二步：（1）打开Burp，点击代理 设置监听的IP地址和端口（就是刚刚浏览器设置的代理，127.0.0.1（是本地的IP地址），8080（是监听的端口））

                 （2）开启拦截请求

                 （3）退到浏览器中，随便输入一个账号和密码

                 （4）来到Burp，可以看到你输入的账号和密码

                （5）右键点击发送给lntruder（测试器）

                （6） 清除掉所有的 § 符号

                （7）只给账号和密码的左右添加 § 符号

                 （8）选择攻击类型为集束炸d

                （9）将准备的字典导入进去，然后开始攻击（实现暴力破解账号和密码）

                 （10）破解成功，可以发现正常密码的长度和错误密码的长度是不一样的.

                （11）在登录密码的页面输入破解出来的账号：admin   密码：password