渗透测试-暴力破解之验证码客户端验证绕过

已于 2023-01-20 10:37:09 修改
阅读量4.8k 收藏 9
点赞数 1
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-05-01 21:26:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/124529482
版权

暴力破解之验证码客户端验证绕过

文章目录

前言

一、什么是验证码客户端验证绕过

简单来说,就是程序员在写代码的时候,进行登录的时候,需要验证码进行验证,直接把验证的代码写在了前端的页面,这样,只要我们进行抓包,就可以很容易的绕过,不需要进行验证码验证。

二、验证码客户端验证绕过

1.打开pikachu进行实验

我们这里用pikachu进行实验,点击暴力破解的client模块进行练习
在这里插入图片描述
我们随便登录,输入验证码,进行抓包
在这里插入图片描述
在这里插入图片描述

2.用burp抓包进行客户端绕过

我们进行重发数据包
在这里插入图片描述
我们将验证码进行修改,重新发送一次
在这里插入图片描述
发现右边最下角,是用户名和密码不正确,说明绕过了验证码验证,说明它只是前端的验证,我们可以进行代码审计看一下
在这里插入图片描述
发现确实是用前端写的验证码验证的代码
之后我们我们绕过了验证码,就是看看能不能通过弱口令进行爆破登录了
我们进行字典爆破,设置爆破参数
在这里插入图片描述
设置字典
在这里插入图片描述
开始爆破,但是我们发现爆破时间长,我们猜一下用户名是不是admin,然后在爆密码,我们重发一个包
在这里插入图片描述
发现了不同的返回包,密码为123456
在这里插入图片描述
试着去登录一下
在这里插入图片描述
发现登录成功了。
在这里插入图片描述
回到pikachu,发现也登录成功了,实验结束。

总结

本次实验简单介绍了验证码客户端验证绕过的方法,还原程序员在写代码的时候出现的安全错误,提示我们在设置验证码的时候不要在前端进行设置,提高对安全防范的意识。

炫彩@之星
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PC客户端(cs架构)渗透测试
06-19
PC客户端(cs架构)渗透测试,本项目主要针对pc客户端(cs架构)渗透测试,结合自身测试经验和网络资料形成checklist,如有任何问题,欢迎联系,期待大家贡献更多的技巧和案例。
web-渗透测试方法测试验证机制
11-11
1、确定应用程序使用的验证技术(如表单、证书或多元机制) 2、确定所有与验证有关的功能(如登录、注册、账户恢复等) 3、如果应用程序并未采用自动自我注册机制,确定是否可以使用任何其他方法获得几个用户账户
深入探索极验验证码破解方法
ttocr796的博客
03-22 374
如果上述代码遇到问题或已更新无法使用等情况可以联系Q:1436423940或直接访问www.ttocr.com测试对接(免费得哈)
渗透测试-内网客户端渗透.pdf
02-25
《Metasploit渗透测试魔鬼训练营》读书笔记文档,是在我看书的过程中对书中理论和一些实践的总结。
密码爆破---绕过验证码进行登录爆破
04-14
给密码爆破提供了更多的思路
安全测试-渗透测试-不安全的http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全的http方法问题及解决方案.doc
Android逆向之绕过卡密实例
weixin_43811041的博客
01-21 2万+
前言 因为疫情的缘故上学期在学校出校门需要用到请假软件,(虽然还是想吐槽一下,但还是算了吧)随之也就出现了各种假 假条软件,有部分需要收费。秉承能白嫖坚决不掏钱的原则,别问为什么,问就是穷。正好现在放假闲来无事就对其逆向分析,本人也是菜鸡一枚,仅仅来分享下逆向过程跟经验,大佬看看就好,如若能给点方向给点建议,那再好不过。(手动狗头)本篇文章只是来说一说我这个小白的逆向入门之路,仅用来学习交流之用!!!!帮助那些和我类似的小伙伴理解逆向,欢迎有此爱好的小伙伴交流、互相学习。废话不多说,进入正题: (PS:文中
免密钥登录脚本(转载)
白衣不染尘的博客
10-29 2082
无密钥登录的自动脚本实现: vim key.sh  #!/usr/bin/expect set timeout 10 set username [lindex $argv 0] #执行该脚本传入进来的三个参数 set password [lindex $argv 1] set hostname [lindex $argv 2] spawn ssh-copy-id -i /root/.ssh/...
Linux系统省略输入用户名密码(字符界面下)
11-10 719
 Linux系统省略输入用户名密码(字符界面下) 1、省略密码验证很简单,只需把/etc/passwd中的root:x:0:0:root:/root:/bin/bash,改为root::0:0:root:/root:/bin/bash,就可以了,就是去掉了里面的x,这样root用户就不用
Python自动化测试之cookie绕过登录(保持登录状态)
YJT1002的博客
08-30 732
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取。
暴力破解验证码绕过
rnn0921的博客
07-25 4245
暴力破解--验证码绕过 on client:正确的应该是,后端生成验证码,传到前端时是图片的形式,(而不是以字符串的形式)用户在前端输入验证码,与后端的验证码值做对比。如果想要爆破的话,在每次请求前要把上一次请求的响应包获取到,把其中的token值取出来,token采用递归payload,把上次请求的token值作为本次请求的token值,然后再进行发送,进入options选项,从响应中提取选项,fetch response,在响应包中选中token值,然后提交token,即可运行。
信息安全渗透测试-网络安全
最新发布
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理...
2024全新上市ARM MAX网络验证系统源码支持一键注入引流弹窗注册机一键脱壳APP加固,会员注册登陆卡密验证等,搭建教程
hbwxr123456的博客
10-18 2512
此套源码功能强大,支持APK脱壳、注入、网络验证、注册机、引流弹窗、更新弹窗和公告等功能,并具有强大的系统应用管理端,可轻松管理用户数量和卡密状态等数据统计。armpro脱壳软件可在线修改手机文件和游戏数据,并可添加会员功能、卡密验证和公告弹窗等,自由设置会员到期时间,并可对接自动发卡平台和注入任意APP实现卡密和会员功能。这套网络验证系统非常强大,值得一试。我就拿现在比较火的tvbox做演示,注入后便可实现会员登陆、卡密登陆、公告弹窗等等,所有的APP都能变成你自己的。
Lua云验证卡密破解工具
热门推荐
qq_18851849的博客
08-20 3万+
https://ggyun.lanzoui.com/iDsdSf9hukb
某直装外挂卡密校验逆向分析
头铁逆向的旅程
09-21 1万+
安卓逆向实战 卡密校验 分析
某精英枪战游戏辅助脚本加密破解
、抓不住的沙、、
11-01 2571
RengLei_over_SK_qqQQhaohaohao = "1" --用完一键手雷切回的枪(1是主武器1,2是主武器2)--------------------K2的--------------可见数据都被加密成了一种数字格式。--智能识别腰射开关。
尝试破解使用网络验证的小软件
不忘初心,护天下安全!
02-25 2万+
网络验证就是将一些关键数据放到服务器上,软件必须从服务器取得这些数据才能运行。拦截这种验证的思路就是拦截服务器返回的数据包,分析程序是如何处理这些数据包的。 相关函数有: send()函数: int send( SOCKET s, //套接字描述符 const char FAR *buf, //缓冲区 int len, ...
能涨薪5k-10k的python+pytest接口自动化(7)-cookie绕过登录(保持登录状态)
m0_60054525的博客
09-16 764
cookie绕过登录其实是登录状态保持,而不是真的不需要登录。并非所有的网站都是使用cookie机制,除了cookie机制外,还有session、token等方式进行会话保持,这在后续的文章中会进行说明。
软件测试之接口自动化测试(八):何如跳过登录
测试小小小的博客
07-18 2429
痛点 我们先来说一个大家做接口测试或UI自动化测试的痛点,很多时候要进入应用或接口都需要登录验证,这是我们展开测试的一个很头疼的问题,在前面的文章中好像也留下了这个坑,也有童鞋留言在问这方面的问题,另外刚好年前在写爬虫的时候也遇到这样的问题,所以今天我们就来分析下这个主题,把这个坑给填满…… 分析 对于如何跳过登录,我就开门见山直接说吧,我了解到的跳过登录的方式无外乎有下面几种:1、模拟用户输入登录;2、利用Cookie跳过登录;3、利用非正常手段绕过登录;4、白名单;5、其它(未知或待发掘) 对于第
2020网络安全-web渗透测试-2 下载 老男孩
08-16
《老男孩》是一部2003年上映的中国电影,由导演成龙执导,陈坤和蒋雯丽主演。影片讲述了艰难的求学经历与友情的故事,以及主人公的成长与自我超越。 根据您的问题,我们推测"老男孩"可能是一个软件或文档的名称。然而,根据我们提供的信息,我们无法确定具体指的是什么。在网络安全领域中,"web渗透测试"是指通过模拟攻击的方式,评估网站和应用程序的安全性,以发现潜在的漏洞和弱点。而"下载"是指从互联网上获取、复制或存储文件到本地设备的行为。 因此,根据我们的理解,您可能指的是"老男孩"与网络安全渗透测试或下载之间的关联。然而,根据我们提供的信息,我们无法准确回答您的问题。如果您有更多细节或信息提供给我们,我们将尽力帮助您解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值