Docker中啟動LocalDVWA容器，準備DVWA環境。在瀏覽器位址列輸入http://127.0.0.1，中開啟DVWA靶機。自動跳轉到了http://127.0.0.1/login.php登入頁面。輸入預設的使用者名稱密碼admin:password登入。單擊頁面左側的DVWA Security，進行安全級別設定，如圖3-18所示。

圖3-18  DVWA安全級別

DVWA的安全級別有4種，分別為Low、Medium、High和Impossible。先選擇最低的安全級別，單擊Submit按鈕確認選擇。

單擊頁面左側的BruteForce按鈕，進入暴力破解測試頁面，單擊View Source按鈕，如圖3-19所示。

圖3-19  Low Brute Force原始碼

獲取的程式碼如下：

<?php

 if( isset( $_GET[ 'Login' ] ) ) {

    // Getusername

    $user =$_GET[ 'username' ];

 

    // Getpassword

    $pass =$_GET[ 'password' ];

    $pass =md5( $pass );

 

    // Checkthe database

   $query  = "SELECT * FROM`users` WHERE user = '$user' AND password = '$pass';";

    $result= mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' .((is_object($GLOBALS["___mysqli_ston"])) ?mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res =mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

 

    if($result && mysqli_num_rows( $result ) == 1 ) {

        //Get users details

       $row    = mysqli_fetch_assoc($result );

       $avatar = $row["avatar"];

 

        //Login successful

        echo"<p>Welcome to the password protected area {$user}</p>";

        echo"<img src=\"{$avatar}\" />";

    }

    else {

        //Login failed

        echo"<pre><br />Username and/or passwordincorrect.</pre>";

    }

 

   ((is_null($___mysqli_res =mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

}
?>
 

從程式碼中可以看出，伺服器沒有對輸入的使用者名稱和密碼做任何的檢查，直接就進行了SQL查詢。這種情況用SQL注入也非常的方便，但這裡測試的是暴力破解。

瀏覽器啟用SwitchyOmega的Burp Suite模式，啟動Burp Suite監聽本地的8080埠。在頁面中任意輸入一個使用者名稱和密碼，如圖3-20所示。

圖3-20  DVWA傳送資料到Burp Suite

關閉瀏覽器其他的標籤頁，避免干擾。啟動Burp Suite，開啟Proxy標籤頁的Intercept項，將專案按鈕調整成Intercept is on，如圖3-21所示。

圖3-21  Burp Suite攔截

回到DVWA頁面中，單擊Login按鈕。瀏覽器向伺服器127.0.0.1傳送資料，通過127.0.0.1:8080埠，被Burp Suite攔截。Burp Suite顯示攔截下來的資料，如圖3-22所示。

圖3-22  攔截的資料

在Raw的文字框中單擊滑鼠郵件，在彈出的選單中選擇Send toIntruder選項，Burp Suite將攔截得到的資料傳送給了Intruder，進行選擇、分析，如圖3-23所示。

圖2-23  Send Data to Intruder

單擊Burp Suite的Intruder標籤，選擇Positions專案。這裡是暴力破解的主戰場，可以看到Intruder已經將頁面傳送資料中所有可爆破的引數都標示出來了，如圖2-24所示。

圖2-24  Intruder專案

這裡所有標示出來的引數都是可以用於暴力破解的。實際上只需要暴力破解username和password這兩個引數就可以。單擊Clear$按鈕。清除所有備選目標，然後選擇需要暴力破解的兩個引數username和passowrd，單擊Add$按鈕，將這兩個攻擊目標的引數標示起來，如圖2-25所示。

圖3-25  選擇暴力破解目標

再來看看Intruder專案的攻擊模式Attack type。Intruder的攻擊模式有4種。分別為Sniper、Battering ram、pitchfork、Cluster Bomb模式。

Sniper是狙擊模式，這種模式適合單一的目標引數破解。以本次破解為例，如果已知了使用者名稱username，那就只需要暴力破解密碼password就可以了。這就是單一的目標引數破解。只需要給一個字典，Intruder就用這個字典中的所有密碼測試一遍。假設已給出密碼字典為[a, b, c, d]，破解方式為：

Password

-------------

 a

 b

 c

 d

Battering ram是撞擊模式，這種模式不管有多少個目標引數破解，都只用一個密碼字典。以本次破解為例，有兩個目標引數需要破解，Intruder將密碼字典中的密碼同時給這兩個目標，假設已給出密碼字典為[a, b, c, d]，破解方式為：

username | password

a  | a

b  | b

c  | c

d  | d

Pitchfork是交叉模式，這種模式中有多少個目標引數，就需要給多少個密碼字典。以本次破解為例，有兩個目標引數需要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。Intruder將破解2次，破解方式為：

username | password

1  | a

 2  | b

Cluster bomb是集束炸彈模式，這種模式的中有多少目標引數，就需要多少個密碼字典。以本次破解為例，有兩個目標引數需要破解。假設給出的2個字典分別包含的是[1, 2]和[a, b, c, d]。破解方式為：

username | password

1  | a

1  | b

1  | c

1  | d

2  | a

2  | b

2  | c

2  | d

本次破解有2個目標引數username和password，需要2個字典。選擇Cluster bomb模式，如圖3-26所示。

圖3-26  Attack Type

單擊Payloads標籤，為目標設定字典。第一個目標引數是username，使用者名稱一般就是[root, admin, administrator]，將這幾個使用者名稱輸入到第一個目標引數的密碼字典中去，如圖3-27所示。

圖3-27  輸入使用者名稱到字典

第2個目標引數是password，將建立的weak_top25.txt檔案作為密碼字典就可以了，如圖3-28所示。

圖3-28  載入檔案作密碼字典

所有設定完畢後，單擊Startattack按鈕開始破解。最後得到的結果如圖3-29所示。

圖3-29  Low安全級別的破解

Length是從伺服器返回資料的長度。只有一個長度與眾不同，那這個使用者名稱和密碼必定是正確的。測試一下，回到DVWA的Brute Force專案，輸入使用者名稱和密碼admin:password，單擊Login按鈕，返回的結果如圖3-30所示。

圖3-30  測試結果

驗證使用者名稱密碼可用。暴力破解成功。

有興趣的歡迎一起讀這本書《11招玩轉網路安全——用Python，更安全》