pikachu靶场通关记录

暴力破解

基于表单的暴力破解

看到登录表单，先随便输入用Burpsuite抓包试试

看到数据包中账号密码

试试进行暴力破解

把数据包大送到intruder模块，选择Cluster bomb

分别选择账号和密码的爆破字典

开始爆破

发现账号admin 密码123456返回长度和其它都不一样

试着登录，登录成功

验证码绕过（on server)

还是先抓包

先发送到repeater，看一下回显

验证码不正确会显示验证码不正确

当把验证码去掉后显示验证码不能为空，证明是后端验证

当输入正确验证码，不正确账号密码时，会显示账号或密码不存在

再次换账号密码提交发现，验证码还可用

得知验证码不具有有效期，只要不更换图片都一直可用

直接固定验证码进行暴力破解账号和密码

发送到intruder模块

选择字典后进行爆破

破解成功

验证码绕过（on client)

还是输入抓包

发现弹窗显示验证码错误，没有发送数据包，证明是前端验证

输入正确验证码进行抓包

成功抓包

发送到repeater模块看看回显

发现每次提交之后验证码就换了，但是不影响我们提交，因为是前端验证，抓包已经绕过

发送到intruder模块暴力破解

破解成功

token防爆破？

还是先抓包

发送到repeater模块看回显

改一下token再看回显

发现token不正确，数据包无效

再次提交看回显

发现再次提交token已经无效，每次提交都会更换token

页面检查发现一个hidden属性的input，里面记录着token

发现token值发送到了前端中，可以被获取

将数据包发送到intruder模块进行爆破

选择pitchfork类型

将用户名，密码，token都设置为变量

找到options中的Grep-Extract模块

点击添加add，找到token值

在options中找到Redirections选择Always

设置线程为1

然后第一个参数和第二个参数分别导入账号和密码的字典

第三个参数选择Recursive grep,选择刚才筛选的Recursive grep，然后填入抓包时的token

开始爆破

爆破成功

Cross-Site Scripting

反射型XSS（get）

先随便输入看看回显

查看源代码发现我们输入的直接输出到

标签中

输入弹窗代码看是否存在xss

发现输入框限制长度，修改前端代码修改限制长度

也可以直接修改url中参数