owasp zap 暴力破解测试

网络安全里装着好多人的侠客梦。但是不能触碰铁律，所以，只小小的自娱自乐。

自己练习，大都会用到 DVWA，一个很好的安全测试平台，自己搭建（很简单，傻瓜式搭建），自己设置安全级别，自己验证各种漏洞攻击方式。（这里不再赘述，有时间可以将 DVWA 的搭建再细传上来）

1、代理设置

将 owasp zap 的本地代理设置成 127.0.0.1 端口 8080

测试用的浏览器也设置成同样的代理（可以用 proxy switcher 等快捷代理设置插件，也可以自己手动设置，例如如下）

2、抓包

 保持打开owasp zap，不做任何操作。这时打开设置了代理的浏览器，访问想要进行暴力破解的网站，例如http://127.0.0.1/DVWA-master/DVWA-master/login.php  （此次测试设置dvwa  security为low，想尝试更难的等级，则设置为high，high登记由user_token，破解稍微麻烦一些）。

在该登陆页面，随意录入用户名、密码(例如 test test)，点击 login

显然登陆失败。

这时查看 owasp zap 中页面，查看历史记录中最新的一条，即此次操作抓到的包

双击这条记录，查看对应的请求、响应报文

看到 get 请求：GET http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/brute/?username=test&password=test&Login=Login

其中 username、password 是我们随意输入的 test test

3、导入字典

通过 2 可知，我们的在前端页面用户名、密码参数分别为 username、password，我们要破解的就是匹配的这两个字段。

下面对这两个字段导入字典

选中“历史”标签的 url 记录，右键选择 攻击--Fuzz,如下图

点击 Fuzz 后，进入如下页面

选中 test，点击右侧的“Add” 按钮 ，在弹出的子框中，点击 Add

“类型”默认为“String” 即可手动输入猜测的用户名，也可以选择类型为“”文件“导入准备好的字典，如下：

同样，对 password 也可以进行字典的导入，选中 password 的值 test,点击”Add“

同样导入 password 的常用密码。点击”Start Fuzzer“，即开始进行 username 和 password 准备字典中个数乘积次数的自动匹配猜解。

点击后，快速出来 32 条（4*8）结果，如下

查看结果中 Size Resp Header 即数据包大小，只有一条是 4.87kib，其他都是 4.79kib，和第一次进行抓包时的大小一样。因登陆成功和失败的页面差异，不妨猜测这条包大小与众不同的记录即破解成功的记录。

验证一下，双击这条 4.87kib 大小的记录，查看请求和响应报文。发现响应报文中有”Welcome to the password protected area admin“ 这样一句话，显然破解成功。

在这条记录的请求报文，还是有记录的 payloads 中都有注明用户名、密码。所以，至此，得到了可以登陆的用户名密码。

尝试使用该用户名、密码登陆可成功