Web安全 暴力破解 的详细步骤.

暴力破解的原理：就是攻击者使用自己的账号和密码作为一个字典，一个一个去尝试，看看是否能够登录成功，因为理论上来讲，只要字典足够庞大，就可以破解成功的！

工具：Burp和OWASP浏览器

OWASP浏览器：链接：https://pan.baidu.com/s/1jAKj5SSmApo23xdgQK-yig
提取码：tian

Burp：可以使用kali中的Burp.

本地自己搭建的DVWA靶场：安装在win XP（IP地址：192.168.0.104）

DVWA靶场搭建链接： DVWA的靶场搭建_半个西瓜.的博客-CSDN博客

第一步：（1）设置代理服务器（我用的是：OWASP浏览器，也可以用别的浏览器 设置代理服务器就行）：

            （2） 新建代理服务器，选择手动代理  设置127.0.0.1（为本地的IP地址），设置代理的端口8080

     **       （3）使用刚刚设置的代理**

第二步：（1）打开Burp，点击代理 设置监听的IP地址和端口（就是刚刚浏览器设置的代理，127.0.0.1（是本地的IP地址），8080（是监听的端口））

          **   （2）开启拦截请求**

            ** （3）退到浏览器中，随便输入一个账号和密码**

             （4）来到Burp，可以看到你输入的账号和密码

      **      （5）右键点击发送给lntruder（测试器）**

          **  （6） 清除掉所有的 § 符号**

      **      （7）只给账号和密码的左右添加 § 符号**

   **          （8）选择攻击类型为集束炸弹**

           ** （9）将准备的字典导入进去，然后开始攻击（实现暴力破解账号和密码）**

         **    （10）破解成功，可以发现正常密码的长度和错误密码的长度是不一样的.**

          **  （11）在登录密码的页面输入破解出来的账号：admin   密码：password**