burp(6)暴力破解与验证码识别绕过

声明！
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探究，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面毗连进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)
1.安装插件与配置

下载好插件后先运行python脚本（如遇到缺少的软件包可用pip install命令下载，假如觉得太慢的话输入下面这个指令

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple ddddocr //ddddocr包名，可根据缺少的自行替换

点击扩展将jar包导入进去

点击右上角我们添加的插件，在验证码url处选择我们网站的验证码的url输入进去

模板这边按下图进行选择即可

2.爆破与验证码识别

首先找一个目标网站带验证码的那种

来到页面抓一个包发送到intruder模块

选择交织这个

将两个传参点标注上要爆破的位置

选择payload设置一下我们第一个参数点要爆破的字典

在第二个模块payload设置处我们选择扩展，让其通过我们的插件进行爆破

我们在目标网站的登陆页面右键验证码，点击在新标签页中打开图片如许就会跳转到一个新的页面，则上面的url就是其验证码的地址

将验证码复制下来回到插件中，将url地址放到左上方的位置，调试我们的插件，在接口url中选择我们本地的回环地址。（记得同时运行我们的python脚本，要将验证码的包抓一下发送到我们的插件中）

接着回到我们的intuder模块进行攻击，可以看到两个payload一直在正常运行验证码也变更，成功率就看字典的强度了

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。