暴力破解 之 pikachu

基于表单的暴力破解

随便输入账号密码并抓包，发送intruder，标注要暴力破解的用户名和密码
在有效负载集中选择1，在这里代表前面的用户名，在下方添加字典或者随意添加几个
选择2，为密码添加字典
最后开始攻击，长度不同的就是正确的

验证码绕过(on server)

if(isset(KaTeX parse error: Expected '}', got 'EOF' at end of input: … if (empty(_POST[‘username’])) {
KaTeX parse error: Expected 'EOF', got '}' at position 46: …不能为空</p>"; }̲ else { …_POST[‘password’])) {
KaTeX parse error: Expected 'EOF', got '}' at position 49: …</p>"; }̲ else { …_POST[‘vcode’])) {
KaTeX parse error: Expected 'EOF', got '}' at position 56: …"; }̲ else { // …_POST[‘vcode’]) != strtolower($_SESSION[‘vcode’])) {
$html.="<pclass{=}^{\prime }notic{e}^{\prime }>验证码输入错误哦！</p>";//应该在验证完成后,销毁该$_SESSION[‘vcode’]
}else{

                $username = $_POST['username'];
                $password = $_POST['password'];
                $vcode = $_POST['vcode'];

                $sql = "select * from users where username=? and password=md5(?)";
                $line_pre = $link->prepare($sql);

                $line_pre->bind_param('ss',$username,$password);

                if($line_pre->execute()){
                    $line_pre->store_result();
                    //虽然前面做了为空判断,但最后,却没有验证验证码!!!
                    if($line_pre->num_rows()==1){
                        $html.='<p> login success</p>';
                    }else{
                        $html.= '<p> username or password is not exists～</p>';
                    }
                }else{
                    $html.= '<p>执行错误:'.$line_pre->errno.'错误信息:'.$line_pre->error.'</p>';
                }
            }
        }
    }
} }

分析源码，在比较完验证码后，没有重置验证码，漏洞由此可见，在我们输入了正确的验证码之后，验证码并没有过期，一直有效，可以继续使用。
同样我们通过burpsuite抓包，发送至intruder模块，将验证码改为正确的验证码（因为正确的验证码一直有效），这样的们就可以绕过验证码来爆破用户名和密码了。

同样的方法添加字典
开始攻击

验证码绕过(on client)

这关依旧有验证码，通过观察源码不难发现，此次验证码是在前端中的js代码进行验证，与上一关的服务器端验证不同。

<script language="javascript" type="text/javascript">
    var code; //在全局 定义验证码
    function createCode() {
        code = "";
        var codeLength = 5;//验证码的长度
        var checkCode = document.getElementById("checkCode");
        var selectChar = new Array(0, 1, 2, 3, 4, 5, 6, 7, 8, 9,'A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z');//所有候选组成验证码的字符，当然也可以用中文的
 
        for (var i = 0; i < codeLength; i++) {
            var charIndex = Math.floor(Math.random() * 36);
            code += selectChar[charIndex];
        }
        //alert(code);
        if (checkCode) {
            checkCode.className = "code";
            checkCode.value = code;
        }
    }
 
    function validate() {
        var inputCode = document.querySelector('#bf_client .vcode').value;
        if (inputCode.length <= 0) {
            alert("请输入验证码！");
            return false;
        } else if (inputCode != code) {
            alert("验证码输入错误！");
            createCode();//刷新验证码
            return false;
        }
        else {
            return true;
        }
    }
 
 
    createCode(); 
    </script>

同样的抓包，标注，添加字典，开始攻击

token防爆破

这里有token值，标注账号或密码，还有token值
选择线程数，这里选择1
添加并复制token值
在下方选择所需的选项
选择1，为密码选择字典
为token值选择递归查询和粘贴之前的token值

开始攻击