使用burpsuite绕过验证码

最新推荐文章于 2024-06-25 08:33:31 发布
最新推荐文章于 2024-06-25 08:33:31 发布
阅读量2.2w 收藏 31
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37865996/article/details/85809069
版权

0x00 前言

        有关验证码的绕过,其实很多方法。最简单易懂的怕就应该是用bp强行爆库了。事实上,因为设了代理,很多网站会直接断开连接,当然了如果六位验证码,却只有一分钟有效时间,基本是没戏了。虽然我的MTP2018很给力,却也就此却步。前几日听大神的分享,结合自己入攻防不久的现实,我根据自己的水平做了一定的探索。

0x01 字典的准备

         验证码分为两大种,一种是图片验证码,一种是手机验证码。由此我制作了4位纯数字验证码字典、6位纯数字验证码字典、4位字母、数字的验证码字典。

0x02 遇到的第一种情况:服务器断开连接

       事实上,在入手某网站制作公司平台上,先尝试了一波字母验证码的破解。这里的字母验证码是用于发送手机验证短信之前,先进行的初步认证。说起来,这种验证方式在表面上防得了机器,其实在逻辑上,可能是本地判断是否合法,然后返回判断结果给服务器。但是在这里,就已经看到服务器开始自动断开连接。

 

0x03 遇到的第二种情况:验证时间过短

        找了某知名小说网站,因为这是一片丰沃的土地,成功了危害也不大。蛮喜欢在这里面尝试一下东西。

这个情况怎么描述呢,一分钟的验证时间。。

0x04 遇到的第三种情况:条件不错,直接成功

         仍旧是个小说网

为了试验,现在队医已知账号进行修改密码的操作,如下图:

第一个框内是本次的验证码,第二个框内是新密码及其确认。

进行爆破点的设置:

使用原密码登录:

使用123456登录:

0x05 总结

         因为技术一般,所以只能吃小鱼。同时要保证电脑速度尽可能快,而且验证码字典把一些频率很低的数字组合可以剔除掉,提高爆破的效率。

东方隐侠-千里
关注
  • 4
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
burp绕过验证码爆破
qq_41035871的博客
09-22 6093
一、序言 以jshop演示站为例,登录页面如下,登录次数超过限制会增加验证码字段。 抓包重放,返回密码错误。 二、爆破管理员账号密码 发送到Intruder模块,先正常爆破密码试试。 可以看见爆破没几个就增加了验证码,返回请输入验证码。 返回Repeater模块,可以看见返回也是请输入验证码。 猜测此类站点逻辑为,正常登录不需要验证码,如果达到某种条件则增加验证码(账号错误次数超过10次、同一个IP登录次数过多、同一台pc登录次数过多) 测试修...
验证码绕过(对验证码绕过的理解-----burpsuite
gl620321的博客
07-06 7685
**Pikachu是一个带有漏洞的Web应用系统, **在这里包含了常见的web安全漏洞。通过一些资料认识这个练习的靶机平台。练习需要的条件是自己首先在电脑上下载并安装相关的工具。Burp suit、Phpstudy(利用火狐或者谷歌等浏览器访问pikachu的网址127.0.0.1),fire proxy omrga插件。Pikachu目前的漏洞类型有16种类型。 Burte Force(暴力破...
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-25 2903
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
使用 BurpSuite 绕过验证码实施暴力破解表单
Flag少侠的博客
04-25 1018
打开靶场,开启拦截输入错误的验证码提交查看结果发现并没有抓到包,因为它在前端就对验证码进行了验证,不正确是不会提交的只能输入正确的验证码再提交,发现抓到了包右键 Send Introder 设置参数添加字典开始攻击,成功爆破出用户名和密码。
全网最新、最详细的使用burpsuite验证码识别绕过爆破教程(2023最新)
热门推荐
qq1140037586的博客
12-27 1万+
最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为**免费版本**(如果验证码比较奇怪可能会有识别错误的情况)和**付费版本**(调用收费接口,所以很精准),下面针对两种不同的版本分别做分享
安全测试之验证码绕过
hello3041的博客
10-29 1764
安全测试入门 #验证码绕过: 1、无限次使用 2、删除图片验证码 3、注意验证码是否相应在返回包里 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 验证码绕过: 1、无限次使用 2、删除图片验证码 3、注意验证码是否相应在返回包里 我们对Markdown编辑器进行了一些功...
burp suite 高端利用之编写宏规则绕过滑动验证码
网络安全领域优质创作者
02-29 1823
这次爆破出来的后台带有滑块验证码,后台登陆页面如下: 本来想用pkavhttp那个工具爆破一波,尝试了一下,实在不好用,然后仔细研究了一下burp的宏模块,教程如下: 1.发起请求,抓包查看提交的参数,发现有verify参数,也就是说这个参数是后端校验的。 到网页源码里搜索这个参数,发现这个参数就在已经加载好的后台登陆页面的源码里。 于是,我们可以编写宏规则,来绕过这个验证码进...
Burpsuite插件1.zip
03-21
最后,burpsuite.xlsx文件可能包含了一些测试计划、案例或者插件的配置信息,用于记录和分享测试策略。 总的来说,这些插件扩展了Burp Suite的功能,使其能够更好地适应复杂的安全测试需求,提高了测试效率和深度。...
用Burp对DVWA重放爆破攻击文章的配套资源
05-26
在DVWA中,我们可以选择合适的漏洞场景,如弱口令或验证码绕过,利用Burp Suite来捕获合法请求,然后通过篡改参数,进行爆破尝试。 具体操作步骤包括: 1. 使用火狐浏览器访问DVWA并触发目标请求。 2. 在Burp Suite...
csrf绕过Referer技巧-01
09-15
本文将详细介绍CSRF绕过Referer技巧,包括Referer防御CSRF原理、Referer防御代码编写、绕过Referer技巧和Burpsuite自动生成POC。 一、Referer防御CSRF原理 HTTP Referer是header的一部分,当浏览器向Web服务器发送...
Web应用安全:代理及重放习题(实验习题).docx
06-17
- 它可用于验证漏洞,如认证绕过、权限提升或跨站脚本(XSS)漏洞。 2. 完成一次Burp Suite重放攻击的流程: - 首先,配置Burp Suite作为浏览器(如Firefox)的代理,确保所有HTTP通信通过它转发。 - 然后,访问...
第07篇:浅析web暴力猜解1
08-03
对于验证码识别或绕过,如果验证码与用户名和密码分开处理,或者验证码不能自动刷新且可重复使用,攻击者可能通过手动输入或编写自动化工具来绕过验证码的识别通常涉及图像处理技术,以识别出验证码中的字符。而在...
BurpSuite并发】使用Turbo Intruder进行短信验证码并发轰炸
开水的博客
04-16 3262
使用第一种方式可能会遇到bp版本太老无法安装等问题,可以尝试使用官网直接下载后导入的方式安装。备注:有的页面在发送验证码之前会有滑块验证,记得要针对发验证码的包进行并发。安装完成以后,Burp扩展中就会出现安装好的Turbo Intruder。在BurpSuite的扩展里的BApp商店可直接安装。
Pikachu靶场:暴力破解之验证码绕过(on client)
witwitwiter的博客
04-05 1735
Pikachu靶场:暴力破解之验证码绕过(on client) 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 验证码用来防止登录暴力破解、防止机器恶意注册。 客户端request登录页面,后台生成验证码: 1.后台使用算法生成图片,并将图片response给客户端; 2.同时将算法生成的值全局赋值存到SESSION中; 校验验证码∶ 1.客户端将认证信息和验证码一同提交; 2后台对提交的验证码与SESSION里面的进行比较; 客户端重新刷新页面,再次生成新的验证
基于Burpsuite的安全测试十二:验证码机制测试
chang_jinling的专栏
06-21 2121
基于Burpsuite的安全测试十二:验证码机制测试 常见的验证码有图形验证码、短信验证码、邮箱验证码、滑动验证码、语音验证码 情景1:验证码暴力破解测试 短信验证码一般为4-6位数字组成,如果没有失效时间和尝试失败次数的限制,就可以在这个区间尝试暴力破解。 注册的时候,输入手机号点击获取验证码此时用Brup Suite抓取数据包,点击注册后通过抓取的包中对验证码参数进行暴力破解,破解范围...
Burp Suite工具破解短信验证码登录
这里有橙子的博客
08-31 5935
1.首先抓取登录的包,右击选择发送给Intruder 2.选择测试器,目标中显示攻击目标信息 3.测试器-位置中,攻击类型选择狙击手,首先点击清除按钮,清除掉已设置负载的字段,双击需要分配有效负载的字段点击添加按钮,如下双击验证码code,点击添加按钮 4.有效载荷中可如下设置,有效载荷集选择数值,数字格式中有举例,点击右上角的开始攻击,程序会从6000至7000一次递增尝试验证验证码是否正确。 5.如下截图是攻击结果,正确的验证码的长度与其他验证码的长度不一致, ...
burpsuite——身份验证
qq_61768489的博客
12-26 1095
这题的情况是: 错误登录只允许三次,否则要等待1分钟继续登录,可利用的点是我们可以正常登录自己的用户来重置次数。然后这里的通过响应时间来进行区分,经过测试,如果用户名正确,则响应时间根据你设置密码的长度增加而增加。就是个简单的cookie 存储密码的md5 ,主要post传入的密码也需要爆破,一一对应。所以在爆破carlos的密码时,中间要穿插正确的账号密码,准备这样的字典进行爆破。判断是否是正确用户,每个账户需要多试,如果是正确用户,试多了会有某种错误提示。就是所谓的暴力破解,用户名和密码的字典都给了。
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
yaoguangyang05的博客
02-16 1万+
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
Pikachu漏洞练习平台----验证码绕过(on server) 的深层次理解
BengDouLove的博客
08-13 1810
对于Pikachu平台 验证码绕过(on server)一题的深层次理解和与之对应的网站代码知识的分析。
burpsuite绕过验证码爆破
09-08
根据引用内容,有两种方法可以使用Burpsuite绕过验证码进行爆破:免费版本和付费版本。在免费版本中,你可以下载相应的软件进行使用,但是可能会出现验证码识别错误的情况。而在付费版本中,你可以下载对应的插件并...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东方隐侠-千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值