Pikachu漏洞平台练习——Burte Force(暴力破解)：基于表单暴力破解、验证码绕过（on server/client）、token爆破和源码分析

1.基于表单的暴力破解

尝试输入用户名、密码

结果如下：用户名或密码不存在

源码分析：

打开代理，使用burpsuite抓包，进行用户名和密码破解

设置爆破项，添加$符号

添加payload，如果有密码本可进行上传

添加完成后，可根据需要是否在option中的选项修改线程数，另外需要进行grep-match

单击右上角start attack，开始破解

破解结果如下：

将爆破结果验证登录

2.验证码绕过（on server）

将用户名、密码、验证码错误输入，使用burpsuite抓包如下：

可知，后台对验证码进行了逻辑判断。

源码分析：

查找验证码生成文件

随机生成字母数字组成的6位验证码

漏洞利用：

在刚才burpsuite抓取的包中，将验证码vcode的值修改为正确值

接着对用户名和密码进行爆破

3.验证码绕过（on client）

单击确认后，验证码会重新刷新，因此必须输入正确的验证码后，再使用burpsuite抓包。用户名、密码随意填写。

代码分析：

用户名、密码依旧没有什么有效的防护措施，接着看验证码，从A--Z、0-9组合随机产生五位数

根据抓包后，继续可以进行用户名、密码的爆破

4.token防爆破？

随意输入用户名、密码，使用burpsuite进行抓包

代码分析：

下面这条语句中的$_SEESION['token']很显然是加载页面时产生的，而从前端页面F12下的token的value值相当于$_POST['token']，从上面抓到的token值与页面下看到的值相等，即$_POST['token']=$_SEESION['token']

接下来保证token值不变的情况下，进行暴力破解，由于是三个变量，因此选择Pitchfork类型爆破，如下图所示：

设置线程数为1，保证只有获取上一个请求返回的taken值才能，做下一次请求

在Options中的Grep-Extract选择Add,出现如下图所示，点击Refetch response 获取返回的包，找到返回的token值，选中并复制下来。点击确定（注意：一定要在选中token的状态下点击确定）

接着下拉options中到redirections模块选择always

通过筛选规则Recursive grep（匹配），拿到上一个返回包的taken值放在这次taken值的变量里面

payload1和2设置同之前爆破用户名、密码一样，上传密码本

     

最后，进行start attack，开始暴力破解

很明显，爆破成功，获取用户名、密码。