DVWAでBrute Forceにトライ（11/13追記）

こんにちは。
まだまだ駆け出しですが脆弱性を探す練習を少しずつ。

やられサイトのDVWA（1.10）の「Brute Force（LOW）」をやってみました。ログインしてBrute Forceを選択し以下の画面が。

Burp Suiteに切り替え、Intercept をOn に。
Loginボタンを押してProxy HTTP history 中のGETメソッドIntruderへSend。
パラメーターをClearし、usernameとpasswordをパラメーターにadd。

attack typeをCluster bombにし、Payloadsを設定。
Payload Setの1にusernameの候補、2にpassswordの候補をリストに追加
usernameとpasswordをそれぞれ５，６個ずつ設定。

いざ、Start Attackをと。

で、InterceptをOffにするとログインができたという画面に変わるのですが、どのusernameとpasswordの組み合わせで成功したのか分からない。
#adminとpasswrodの組み合わせでログインができることは一旦置いておい
#といて。

IntruderのOptionsを見てみると「Grep - Match」という項目があり、どうやらログインが成功した際の表現を登録できるよう。
ログイン後の画面から適当に「protected area」をチョイスし登録。

再度ブルートフォースを！！

すると、「protected area」にフラグで１が立ってます。

ということで、usernameとpassの組み合わせがわかりますと。

＜以下追記＞
Intruderでattackをスタートし、結果が表示されます。
Statusをみると全て200番台。
あれ？と思いましたが他の項目を確認。

するとLengthの中に1つだけ値が違うRequestが。
その詳細をみて、IDとPasswordをメモってサイトに入力してみる。
と、ログインが出来る。

こういうことでいいのかな。

以上です。