burp绕过验证码爆破

最新推荐文章于 2024-07-16 06:54:32 发布
最新推荐文章于 2024-07-16 06:54:32 发布
阅读量6.0k 收藏 19
点赞数 3
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41035871/article/details/120425005
版权
本文以jshop演示站为例,详细介绍了如何在Web安全场景中,当登录超过限制出现验证码时,使用Burp Suite进行管理员账号密码的爆破。通过改变浏览器和修改POST参数及Cookie尝试绕过验证码,最终利用Battering ram攻击类型成功绕过并完成爆破。文章建议加固措施为修改逻辑并增加双因子认证。
摘要由CSDN通过智能技术生成

一、序言  

以jshop演示站为例,登录页面如下,登录次数超过限制会增加验证码字段。

抓包重放,返回密码错误。

二、爆破管理员账号密码

发送到Intruder模块,先正常爆破密码试试。

可以看见爆破没几个就增加了验证码,返回请输入验证码。

返回Repeater模块,可以看见返回也是请输入验证码。

猜测此类站点逻辑为,正常登录

最低0.47元/天 解锁文章
寒江独钓人
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
验证码绕过
WINDY_PACE的博客
05-14 2512
客户端发起请求->服务端响应并创建一个新的SessionID同时生成随机验证码,将验证码和SessionID一并返回给客户端->客户端提交验证码连同SessionID给服务端->服务端验证验证码同时销毁当前会话,返回给客户端结果。
验证码绕过(对验证码绕过的理解-----burpsuite
gl620321的博客
07-06 7729
**Pikachu是一个带有漏洞的Web应用系统, **在这里包含了常见的web安全漏洞。通过一些资料认识这个练习的靶机平台。练习需要的条件是自己首先在电脑上下载并安装相关的工具。Burp suit、Phpstudy(利用火狐或者谷歌等浏览器访问pikachu的网址127.0.0.1),fire proxy omrga插件。Pikachu目前的漏洞类型有16种类型。 Burte Force(暴力破...
BP插件暴破验证码安装教程及实战流程(BP+captcha-killer-modified+ddddocr)
weixin_70940440的博客
07-05 1029
2024.3版BP及插件暴破+captcha-killer-modified+光学字符识别(captcha-killer-modified工具)+python 3.8.7或者使用3.9.4版本(个人建议3.6~3.9)(2)captcha-killer-modified是captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite。3.3.1---ddddocr只支持Python 3.9及以下版本---无法执行。
全网最新、最详细的使用burpsuite验证码识别绕过爆破教程(2023最新)
qq1140037586的博客
12-27 1万+
最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为**免费版本**(如果验证码比较奇怪可能会有识别错误的情况)和**付费版本**(调用收费接口,所以很精准),下面针对两种不同的版本分别做分享
使用 BurpSuite 绕过验证码实施暴力破解表单
Flag少侠的博客
04-25 1033
打开靶场,开启拦截输入错误的验证码提交查看结果发现并没有抓到包,因为它在前端就对验证码进行了验证,不正确是不会提交的只能输入正确的验证码再提交,发现抓到了包右键 Send Introder 设置参数添加字典开始攻击,成功爆破出用户名和密码。
验证码绕过暴力破解
最新发布
若谷的博客
07-16 1075
本实验中我们针对网站中的登录页面进行暴力破解,通过使用 Burpsuite 工具对网页进行暴力破解,体会学习暴力破解的基本过程,以及学习如何使用Burpsuite 工具。
渗透测试-验证码爆破绕过
热门推荐
道阻且长,行则将至。
01-26 3万+
验证码识别 点击F12打开开发者工具,查看前端源码,找到生成验证码的URL。 将URL输入搜索框,验证是否正确。
146-Burp识别验证码暴破密码
09-08
captcha-killer-modified 是一个基于 captcha-killer 的 Burp 插件,用于识别和破解验证码。captcha-killer-modified 插件可以与 Burp Suite 结合使用,实现验证码的自动识别和暴破。 captcha-killer-modified ...
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
burpsuite爆破密码说明
11-11
需要注意的是,使用Burp Suite爆破密码需要遵守相关法规和法规,例如不能对未经授权的系统进行爆破,否则可能会受到法律追究。 结论 Burp Suite是一款功能强大的Web应用程序安全测试工具,使用Burp Suite爆破密码...
使用burpsuite绕过验证码
不忘初心,护天下安全!
01-05 2万+
0x00 前言         有关验证码绕过,其实很多方法。最简单易懂的怕就应该是用bp强行爆库了。事实上,因为设了代理,很多网站会直接断开连接,当然了如果六位验证码,却只有一分钟有效时间,基本是没戏了。虽然我的MTP2018很给力,却也就此却步。前几日听大神的分享,结合自己入攻防不久的现实,我根据自己的水平做了一定的探索。 0x01 字典的准备          验证码分为两大种,一种...
【转】渗透测试-验证码爆破绕过
mastergu2的博客
07-18 477
转载:https://blog.csdn.net/weixin_39190897/article/details/86539542 【验证码机制原理】 客户端发起请求->服务端响应并创建一个新的SessionID同时生成随机验证码,将验证码和SessionID一并返回给客户端->客户端提交验证码连同SessionID给服务端->服务端验证验证码同时销毁当前会话,返回给客户端结果。 【客户端可能存在的安全问题】 1、有的网站验证码由本地js生成仅仅在本地用js验证。可以在本地禁用js,用bu
弱口令漏洞与验证码绕过——渗透day04
qq_62716256的博客
08-10 3557
弱口令漏洞与验证码绕过——渗透day04
bp前端验证码绕过及token绕过
weixin_42786460的博客
10-25 688
bp前端验证码绕过及token绕过
burp intruder 模块bug 导致无法爆破
qq_43615820的博客
11-12 1137
burpsuite绕过验证码爆破
09-08
根据引用内容,有两种方法可以使用Burpsuite绕过验证码进行爆破:免费版本和付费版本。在免费版本中,你可以下载相应的软件进行使用,但是可能会出现验证码识别错误的情况。而在付费版本中,你可以下载对应的插件并调用收费接口,可以提高验证码的识别准确性。另外,引用中还提到了一种进阶版本,直接调用收费API进行爆破。此外,引用中指出,最好的方式是编写Python脚本进行爆破,以应对管理员密码存在特殊字符可能导致的返回500错误的情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值