添加先在浏览器添加代理,这里用火狐浏览器演示
设置->网络设置->设置->手动代理配置
low
配置完后打开Burpsuite->一路通过->proxy->打开代理(先打开代理在点击登录)
在DVWA—暴力破解题中点击登录,抓取请求包
在抓取的请求包上右键->点击发送到intruder
将attract type改成Cluster Bomb
点击查看四种攻击模式的区别
进入payload配置攻击载荷,payload type自行百度,这里使用list载入字典
用作演示只载入少量字典,真实情况字典比这里更加庞大
点击attract发起爆破
待爆破完成后点击length根据相响应包大小进行排序
检测出大小不同的响应,其对应密码就很可能是正确的密码
只需依次测试不同的两组用户密码即可
其中输入admin/roots无效,admin/password为正确的账号/密码
Medium
height