Pikachu平台 N4 暴力破解2(on client 验证码绕过)

暴力破解验证码绕过 on client

1.首先打开pikachu渗透测试平台,打开暴力破解(on client)章节。


2.第一步,先进行试探,输入一个错误的账号密码,错误的验证码。

发现提示验证码错误


再次试探,输入一个正确的验证码,发现提示用户名密码不正确。


3.查看前段H5源代码,审查验证码,这里可以发现,这个验证码只是基于前端生成的随机验证码。



4.打开Burpsuite,找到刚刚抓到的包,发现发送的元素有三个。


右键点击,发送到Repeater板块进行试探。


将验证码部分重新写入一个错误的验证码


发现后台只回复一条账号或密码错误的数据,说明这个页面的验证码只在前段生成,那么接下来的步骤就重复表单教程的流程,发送到Intruder里进行暴力破解。


一系列行云流水的刷字典操作后就可以看见密码被成功破解!


这样就完成了一次简单的验证码绕过破解过程

你可能感兴趣的:(Pikachu平台 N4 暴力破解2(on client 验证码绕过))