首先，访问DVWA的设置页面：http://localhost/dvwa/setup.php，将DVWA Security设置为low级别。

这一步骤相对简单，仅需为安全级别选择最低档级即可。

接下来，在账户登录界面输入以下 deceitful密码：

admin’1 or ‘1’='1

输入完成后，系统会立即识别出存在安全漏洞并允许登录。

登录成功！（此处应有庆祝的击掌声）

输入正确后，系统即刻跳转至主页面，提示破解成功。

将DVWA Security设置为medium级别，并保持默认的账户设置。

breadcrumb: 改变安全级别是一个需谨慎对待的操作，避免触发防护机制。

使用Firefox作为代理，打开Burp Suite进行动态逼探：

蜜 cupboard away: 附加Firefox的代理扩展，以便将抓包数据集成到项目中。

使用错误的账户凭证尝试登录：

(错误示例：密码为"123"的账户"admin") 初步测试可发现许多常见的密码错误，如太短、可重复、缺乏混合字符等。

在Burp Suite中选择"Action" - "Send to Intruder"，赋予攻击模块更高的权限：

在这过程中，Burp Suite会生成大量的常见密码组合，以模拟攻击者最可能使用的密码。

在"Intruder"模块中设置密码长度为变量，并枚举潜在的字母组合：

(例如，尝试长度从6到15字符不等) 这将生成大量的尝试凭证，覆盖大部分常见的安全级别漏洞。

在"Payloads"中设置自定义凭证字典，启动攻击：

注意：文件载荷选择Runtime文件更适合测试环境，因此建议先测试此模式。

分析收集到的响应：

密码长度错误或特殊字符缺失是成功破解的关键指标之一。

在"Intruder"模块中选择"Payloads type"为Runtime file：

这种方式允许攻击模块在运行时加载自定义的密码字典，提高破解效率。

点击"Start attack"，让系统自行进行加速测试：

系统会自动测试账户和密码的组合，直至找到正确组合。

等待破解完成（此时可能需要一杯咖啡）

攻击时间因目标数据库大小和防护机制而异。