burp(6)暴力破解与验证码识别绕过
声明!学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探究,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面毗连进入b站主页(https://space.bilibili.com/350329294)
1.安装插件与配置
下载好插件后先运行python脚本(如遇到缺少的软件包可用pip install命令下载,假如觉得太慢的话输入下面这个指令
https://i-blog.csdnimg.cn/direct/73a06b9cbe6040798b722218ac9f8b59.png
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple ddddocr //ddddocr包名,可根据缺少的自行替换
https://i-blog.csdnimg.cn/direct/7aee43fda02742808fb0e1aef8d39999.png
点击扩展将jar包导入进去
https://i-blog.csdnimg.cn/direct/26bb5faaec0941b29ece2e36e16095b3.png
点击右上角我们添加的插件,在验证码url处选择我们网站的验证码的url输入进去
https://i-blog.csdnimg.cn/direct/a18630a4eb6b4291a5a59c1bc8770caf.png
模板这边按下图进行选择即可
https://i-blog.csdnimg.cn/direct/42fb1dfee0764e7bb11899ca613d4ab2.png
2.爆破与验证码识别
首先找一个目标网站带验证码的那种
https://i-blog.csdnimg.cn/direct/9f820f97a4374c1bbcd2a48dbc283a22.png
来到页面抓一个包发送到intruder模块
https://i-blog.csdnimg.cn/direct/10a9c8b779254ae5939af4a8235af663.png
选择交织这个
https://i-blog.csdnimg.cn/direct/3f87c8a9c2224abe8a2d9f636cdb8764.png
将两个传参点标注上要爆破的位置
https://i-blog.csdnimg.cn/direct/faec6314a12f43a09b11328f391fd810.png
选择payload设置一下我们第一个参数点要爆破的字典
https://i-blog.csdnimg.cn/direct/5907681b307246e5827c2978711022a1.png
在第二个模块payload设置处我们选择扩展,让其通过我们的插件进行爆破
https://i-blog.csdnimg.cn/direct/fddd978da5144c70b94441ef36d56012.png
我们在目标网站的登陆页面右键验证码,点击在新标签页中打开图片如许就会跳转到一个新的页面,则上面的url就是其验证码的地址
https://i-blog.csdnimg.cn/direct/cf9f2a83065e48e390281fcd7c865cf3.png
https://i-blog.csdnimg.cn/direct/5d66eddc6a48400eafffcf1e3f05820d.png
将验证码复制下来回到插件中,将url地址放到左上方的位置,调试我们的插件,在接口url中选择我们本地的回环地址。(记得同时运行我们的python脚本,要将验证码的包抓一下发送到我们的插件中)
https://i-blog.csdnimg.cn/direct/92dfd2e511ab48ddaea047dcf4624f75.png
接着回到我们的intuder模块进行攻击,可以看到两个payload一直在正常运行验证码也变更,成功率就看字典的强度了
https://i-blog.csdnimg.cn/direct/437edafb11674e09aac0fbb5d860fc72.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]