在kali linux系統環境下自帶burpsuite軟件工具。

一、打開瀏覽器需要先設置將代理設置為本地。

打開firefox瀏覽器->open menu->preferences->Advanced->Network->connect選項中,點擊setting設置http代理。

二、打開kali系統自帶的berpsuite軟件。（kali系統是專門用來做漏洞測試和滲透等多功能的linux，很強大）

三、接下來先配置一下：

選擇Proxy面板（用來抓包的），打開option配置代理為本地。

四、回到intecept攔截子頁面，開始抓包

五、瀏覽器進入DVWA選擇Brute Force菜單頁面，在登錄框中填如值：這裏用admin/123

六、切換到http history子面板，選擇剛剛登錄的url並且參數是admin/123的條目。選中該請求，右鍵Send to Intruder

七、切換intruder的positions子面板，選擇攻擊類型，先需要清除所有參數。選擇我們子需要的password參數，123點擊add$按鈕。

八、再切換payloads子面板，這裏我就自己手動添加簡單幾個字典用來實驗。

其中payload set表示幾個參數（需要破解的），payload type我選的是simple list就是手動加幾個。

九、開始攻擊，intruder->start attack，執行結果如下：

十、我們可以發現跑完後的結果其中只有一條長度不一，即成功項。password的值為password。

當然在下面也可以查看具體的執行情況。各取所需。

大致總結一下：

首先這個暴力破解的名字就像盜取隔離wifi密碼時的跑字典一樣一樣的，結果體驗一下還真類似，但是在OWASP給出的文檔中還存在詳細的教程以及多種方案，這裏不羅嗦，正在看～

在這裏實驗的是自己隨便加的幾個字典項（第一次玩，沒字典），實際這個跑字典的過程還蠻久的，當然取決與字典強度和CPU運算。

非常感謝原博主的分享，膜拜記錄學習：http://blog.csdn.net/qq_20745827/article/details/69055152

bp暴力破解（轉載）