bp暴力破解（转载）

在kali linux系统环境下自带burpsuite软件工具。

一、打开浏览器需要先设置将代理设置为本地。

打开firefox浏览器->open menu->preferences->Advanced->Network->connect选项中,点击setting设置http代理。

二、打开kali系统自带的berpsuite软件。（kali系统是专门用来做漏洞测试和渗透等多功能的linux，很强大）

三、接下来先配置一下：

选择Proxy面板（用来抓包的），打开option配置代理为本地。

四、回到intecept拦截子页面，开始抓包

五、浏览器进入DVWA选择Brute Force菜单页面，在登录框中填如值：这里用admin/123

六、切换到http history子面板，选择刚刚登录的url并且参数是admin/123的条目。选中该请求，右键Send to Intruder

七、切换intruder的positions子面板，选择攻击类型，先需要清除所有参数。选择我们子需要的password参数，123点击add$按钮。

八、再切换payloads子面板，这里我就自己手动添加简单几个字典用来实验。

其中payload set表示几个参数（需要破解的），payload type我选的是simple list就是手动加几个。

九、开始攻击，intruder->start attack，执行结果如下：

十、我们可以发现跑完后的结果其中只有一条长度不一，即成功项。password的值为password。

当然在下面也可以查看具体的执行情况。各取所需。

大致总结一下：

首先这个暴力破解的名字就像盗取隔离wifi密码时的跑字典一样一样的，结果体验一下还真类似，但是在OWASP给出的文档中还存在详细的教程以及多种方案，这里不罗嗦，正在看～

在这里实验的是自己随便加的几个字典项（第一次玩，没字典），实际这个跑字典的过程还蛮久的，当然取决与字典强度和CPU运算。

非常感谢原博主的分享，膜拜记录学习：http://blog.csdn.net/qq_20745827/article/details/69055152