暴力破解（基于server端验证码）

admin

1.首先尝试输入错误的用户名，密码，验证码。

返回验证码不正确

2.输入错误的用户名密码，输入正确的验证码。

返回用户名或者密码不正确

3.输入错误的用户名密码，不输入验证码

返回验证码不能为空


然后刷新页面，会生出新的验证码。
可以发现服务器对验证码的有效性做过校验，一切逻辑正常。
但是如果这个验证码在后台长期不过期，或者过期时间较长。足够我们去爆破用户名和密码，那么就会产生漏洞。

1.输入错误的用户名和密码，然后输入正确的验证码。


然后将包发送到repeater模块中



注意：如果提示密码错误，请刷新页面。获取新的验证码即可。

然后添加到intruder

设置参数 跑出结果即可。