0
点赞
收藏
分享

微信扫一扫

皮卡丘暴力破解

技术只适用于干活 2022-04-14 阅读 77
网络安全
  • 基于表单的暴力破解

账号密码输入111和111,点击登入并抓包

转到intrude并爆破账号和密码,采用cluster bomb模式

制作字典

爆破成功

  • 验证码绕过(On server)

随意输入验证码,

在burp 抓包,可以看到登入信息和验证码信息

刷新验证码,在burp上可以看到新的验证码

将第一条抓包信息转到repeater,将获得的新的验证码输入,可以看到验证码正确。

转到intruder进行暴力破解

破解成功

  • 绕过验证码(on client)

此验证码为前端验证

将信息转到repeater,删除验证码,依然可以重新登入

暴力破解时不用考虑验证码。

  • Token防爆破

登入时可以看到没有验证码

但我们在抓包信息里可以看到一个token值

我们在进行登入时会发现出错,可见token值为一次性的

将信息转到intruder,类型选一一对应

列表一设置密码字典

列表二先选则option项,在选择grep – extract,选择token值自动生成正则匹配

回到payloads,2的类型选择如图

注意这时不能再用并发了,需要用一一对应,如图设置。

爆破成功,如图

举报

相关推荐

0 条评论