暴力破解驗證碼繞過 on client
1.首先打開pikachu滲透測試平臺,打開暴力破解(on client)章節。
2.第一步,先進行試探,輸入一個錯誤的賬號密碼,錯誤的驗證碼。
發現提示驗證碼錯誤
再次試探,輸入一個正確的驗證碼,發現提示用戶名密碼不正確。
3.查看前段H5源代碼,審查驗證碼,這里可以發現,這個驗證碼只是基于前端生成的隨機驗證碼。
4.打開Burpsuite,找到剛剛抓到的包,發現發送的元素有三個。
右鍵點擊,發送到Repeater板塊進行試探。
將驗證碼部分重新寫入一個錯誤的驗證碼
發現后臺只回復一條賬號或密碼錯誤的數據,說明這個頁面的驗證碼只在前段生成,那么接下來的步驟就重復表單教程的流程,發送到Intruder里進行暴力破解。
一系列行云流水的刷字典操作后就可以看見密碼被成功破解!
這樣就完成了一次簡單的驗證碼繞過破解過程