一、AWVS代理设置
设置代理IP地址127.0.0.1 端口号8080,点击Apply
二、AWVS模糊测试(爆破)
第一步:把webshell放在phpstudy的WWW目录下
第二步,打开火狐浏览器,开启本地代理
第三步:打开AWVS抓包功能,抓取数据包
点击start开始
第四步:打开webshell界面,随便输入密码123456
这时候AWVS会出现咱们刚刚访问的数据包
第五步:将红框中的IP地址导入进HTTP Fuzzer中
第六步:在HTTP Fuzzer中测试,添加字典
首先点击加号,添加爆破字典文件,选择字典爆破(file generator)
选中爆破标记,单击filename添加字典文件
找到字典文件并打开
选中需要爆破的位置,添加爆破标记
添加成功如下图,添加成功之后,点击start开始爆破
点击start开始
因为23867字节与前面的字节不一样的长度,并且后面都是14844字节,猜测密码就是412587
登陆测试,正确
注意:AWVS的爆破不是很好用,有的时候会爆破错误,而且爆破成功之后,就登陆进去了,后面的测试则不准确了。更多web安全工具与存在漏洞的网站搭建源码,