pikachu暴力破解
1基本流程
proxy 打开浏览器
输入界面
进行尝试
查看抓包信息
action sendto intruder
选定变量 进行尝试
2 验证码绕过
<on sever>
先不填验证码
send to repeater
(59条消息) Burp suite的重放_burpsuite 重放_Yuhao~的博客-CSDN博客
填写好正确的 试一下 然后暴力破解
<on client>
关键在于尝试多种情况的输入 加验证码和不加验证码
send 到repeater里面进行查看如果去掉验证码也可以进行通过 说明 根本没有监测机制 直接进行爆破
3 token
先看浏览器的源码看token的生成方式 fn f12
发现是通过计算获得 每一次打开网页都会获得一个不一样的token,因为token会展示在前段的源码当中所以是可以进行绕过的。
操作参考https://blog.csdn.net/qq_41542761/article/details/102893563
每一次第一个尝试必报错token错误 (暂时未知为什么)
附上一些burp的讲解
(59条消息) burp suite的四种 attack type(攻击类型)_burpsuite攻击类型_Regenwald的博客-CSDN博客
(59条消息) 1-13 Burpsuite Intruder Options介绍_bp intruder options_山兔1的博客-CSDN博客