Kali 笔记

搜索
查看: 2543|回复: 0

暴力破解(基于server端验证码)

    [复制链接]

561

主题

816

帖子

2093

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2093

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2019-4-11 17:44:14 | 显示全部楼层 |阅读模式

1.首先尝试输入错误的用户名,密码,验证码。

返回验证码不正确

2.输入错误的用户名密码,输入正确的验证码。

返回用户名或者密码不正确

3.输入错误的用户名密码,不输入验证码

返回验证码不能为空


然后刷新页面,会生出新的验证码。
可以发现服务器对验证码的有效性做过校验,一切逻辑正常。
但是如果这个验证码在后台长期不过期,或者过期时间较长。足够我们去爆破用户名和密码,那么就会产生漏洞。

1.输入错误的用户名和密码,然后输入正确的验证码。


然后将包发送到repeater模块中



注意:如果提示密码错误,请刷新页面。获取新的验证码即可。

然后添加到intruder

设置参数 跑出结果即可。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表