JMeter暴力破解账户密码

小编软件测试刚入行二个月

为了前途 前几天看了下有关验证码找回密码的安全漏洞的文章，于是做了以下有关暴力破解验证码的总结

周所周知，所谓暴力破解，也就是我们所说的穷举法

如何对验证码进行暴力破解  无非就是对所有可能的数据进行校验，当然实在太多的数据 可以用多线程 或者高配置电脑来解决，但是对于一些复杂的验证码，我感觉你还是放弃得了，毕竟我们还不是黑客 没达到那种水平

本篇博客所描述的 

仅针对四位数的验证码 并且提交错误数据到服务器 正确的验证码不会失效，也就是平常我们所说的五分钟内失效 也就是说在这五分钟内我们可以尝试着将1000-9999这些数据，全部进行输入提交到服务器进行验证，

好了 了解了相关原理 ，现在我来教大家怎么破解，

下面对JMeter的操作需要对JMeter工具有一点基础 没基础的建议先看下基础

使用的工具：JMeter

1.下载JMete压缩包，打开jmeter.bat批处理文件，首先我要说的是，JMeter必须运行在java环境之上，所以在这之前你要配置好java环境

2.新建 -》 线程组/http请求/查看结果树、CSV Data Set Config，关于线程数 开1，然后循环数多少 等于下方你txt文件中数据数

a)然后 在http请求中 将有关接口参数 填写入内，以及服务器对应的ip地址、采取的协议、路径、方法等，如下图(body中 code的值是读取.txt文档中的)

b.然后新建一个文本文档，里面输入验证码的所有可能数据文档，当然小编这里只输入了1000-2999 然后在另存为，编码格式一定要改成utf-8，然后在

CSV Data Set Config中，填写有关下图参数

c.点击运行，此时，程序疯狂gogogo  结果树中 也是在gogogo   刷刷刷的往下跑

没多久 二千条数据跑完了  观察下面时间差 也就二分钟就解决了二千条数据的穷举

3.程序跑完之后，没必要去看响应返回数据，我直接使用新密码654321去登录 ，发现登录不上，

于是小编就排除了 验证码不属于1000-2999这个区间

但是这时候，相信大家都已经感受到了吧  一个线程  小编提交2000次数据 只要二分钟 按照这个速度

如果开五个线程  1000-9999这点数据   估计不到二分钟就已经穷举完了吧？

那么 总有一条请求  会成功 也就是说  我总有一条数据是正确的验证码，也就可以修改掉账户的密码

当然这种操作很费资源  当然这种多线程高速度 自然是要求电脑配置跟的上  但是暴力破解  本就是这种原理

还有几点要提醒各位的 ，在发起数据请求之前，也就是运行JMeter之前，自然是需要手动发下验证码  触及下这个验证码下发 然后我们在对他进行穷举验证，然后如果响应返回的不对 ，可以尝试添加cookie管理器

当然本文主要体现的是暴力破解的一个小流程

对于JMeter的相关基础知识 以后小编在总结