用户
搜索
  • TA的每日心情
    开心
    昨天 13:08
  • 签到天数: 44 天

    连续签到: 44 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    31

    主题

    71

    帖子

    1226

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2020-10-2
    发表于 2021-3-28 21:00:42 45195
    本帖最后由 Johnson666 于 2021-3-28 21:01 编辑

    一.请完成黑客魔法学院申请表,正式加入黑客团队,源码为逗比表单实验
    通过根据burpsuite抓包修改来完成

    QQ图片20210328184428.png


    1、根据源代码可知, name不能是逗比,因为逗比不予录取,所以要修改name。而这里是通过url加密了,所以我们也去加密下

    QQ图片20210328184437.png
    2、年龄需要大于等于18,修改下
    3、性别得是nan或者nv,这里**没有给出来,我是自己补的**=nan
    4、zy和tc只是规定“==”,而不是“!=”,所以咋写都行
    5、Host规定为127.0.0.1

    7、User-Agent规定为Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X)AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A403 Safari/8536.25

    QQ图片20210328184433.png

    二.dvwa的搭建
    使用phpstudy搭建DVWA的环境。源码为DVWA实验。
    其它我就不细说了,注意这里要改一下:其中的config文件夹中的config.inc.php

    这里的db_user和password要改成自己数据库的用户名和密码

    QQ图片20210328194923.png

    三、burp暴力破解
    burp对DVWA进行密码的暴力破解

    QQ图片20210328202327.png

    先来抓个包

    QQ图片20210328202334.png

    然后发送到Intruder模块

    QQ图片20210328202348.png

    然后Attack Type调成Cluster bomb,将我们输入的用户名和密码变成payload

    QQ图片20210328202355.png

    然后在这里payload set 为1就是要跑用户名,为2就是跑密码
    这里可以点击load来加载自己的字典,也可以点击add from list来选burp内置的字典

    QQ图片20210328202400.png


    QQ图片20210328202406.png


    然后strat attack就行了

    QQ图片20210328202412.png

    成功

    QQ图片20210328202416.png

    最后附上:
    逗比表单.rar (1.92 KB, 下载次数: 0)
    QQ图片20210328202406.png
    发表于 2021-3-29 10:39:29
    逗比
    使用道具 举报 回复
    啥东西。。
    使用道具 举报 回复
    学习了学习了
    使用道具 举报 回复
    发表于 2021-3-30 22:46:36
    学习了。
    剑未佩妥出门已是江湖
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册