首先要用phpstudy打开Mysql和Apache,然后将设置浏览器代理,地址127.0.0.1 端口8080
进入dvwa时,要用本地IP,不能用127.0.0.1,否则会导致bp一直抓不到包
3.开启BP拦截
ip改为了本地ip,然后就成功进去了并抓取到了登录账户和密码
然后单击右键把这个数据发送到intruder,然后选择Cluster bomb模式
然后点击clear$清除所有参数,将usename跟password用add$给标注上
然后进入payloads界面,分别将账户字典跟密码字典填入其中
5.开始爆破
然后点击右上角的start attack
6.爆破结束
通过比较Length发现用户名admin和密码password这组数据的Length与其他组不同,将这组账号密码拿到dvwa中试试
最后我们发现这组账号密码是正确的,爆破成功!