用wvs进行表单破解

基于wvs下的表单破解.---- http fuzz的使用


挫B文章，大牛绕过。简单得步骤，凑个字就变成文章了。
看很多人都用burpsuit。但是需要装java环境啊有木有。很蛋疼的其实，有木有！
wvs本身就很好用。

手册如下
http://www.acunetix.com/blog/docs/manual-crawling-http-sniffer/


一、Wvs是什么？

WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
我们利用它可以有效地扫描web系统中的多种漏洞。

二、怎么基于wvs下进行表单破解？

1.首先设置在浏览器连接设置需要中转的代理端口，这样才能让http sniff读取数据。
点击configuration 在弹出下拉框中打开application settings  在打开http sniffer。
右侧为自定代理端口。



2.点击左侧的http sniff选项，打开star。
这时候http sniffer就开始为我们工作了。


3. 在捕获到的数据中单击右键，send to http fuzzer。。。。。



4.这时，数据包已经很轻松的躺在http fuzzer里面了。。。
我们要做的无非就是选择破解方式了。



5.右侧下拉框add generator 增加规则，这里分别对应的是
数字暴力破解（number generator）
字符破解（character genertor）
字典破解（file generator）
字符串暴力破解（character string genertor）
随机字符串暴力破解（random string genertor）
特殊字符（character genertor）
拿fack的hack game 做测试
我们选择字典破解，


在filename 处选择字典，这时在要跑密码的地方插入设定好的规则。

点击star。我们就开始跑数据囖。

当然，基于表单破解的工具还是蛮多的。 ：D

三、结尾
技巧需要不断积累
源码需要不断思考
渗透需要不同的思路.
善于表达和分享才可以携手走向更遥远的未来. ：D

求交流啊，by zh