burp爆破——带token、识别验证码

于 2024-05-30 16:39:46 发布
阅读量381 收藏 4
点赞数 4
分类专栏: pikachu 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/139325617
版权

文章目录

一、带token

pikachu的靶场:
在这里插入图片描述

burp抓取数据包,可以发现携带token。

在这里插入图片描述
现在,我们要做的就是爆破密码的同时,携带token!

【burp/Setting】——【sessions】——【Macros Add】添加宏
在这里插入图片描述
找到请求token的数据包,并点击【OK】
在这里插入图片描述
【configure item】
在这里插入图片描述

在这里插入图片描述
填写参数名称,选中token值。再ok就行
在这里插入图片描述
添加【session handing rules】——【Add】
在这里插入图片描述

选择工具范围和URL范围(在指定的URL中更改token值)。
在这里插入图片描述
添加规则,【add-Run a post-request macro】
在这里插入图片描述
在这里插入图片描述

进行爆破
在这里插入图片描述
添加payload之后再爆破
在这里插入图片描述

在这里插入图片描述

二、识别验证码

一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1
在这里插入图片描述

PT_silver
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Codex验证码后台爆破V2.1
06-02
验证码图片url写入可识别,可结合爆破
146-Burp识别验证码暴破密码
09-08
Burp 识别验证码暴破密码 Burp Suite 介绍 Burp 是一个功能强大的 Web 应用程序安全测试工具,它可以帮助安全测试者和开发者来检测和修复 Web 应用程序中的漏洞。Burp Suite 由 PortSwigger 公司开发,提供了多种...
token的登陆页面爆破方法(burp宏+爬虫脚本分享)
seek_2022的博客
12-18 3960
本文以DVWA登陆页面为例介绍并演示了含token的登陆页面如何使用burp宏或爬虫脚本实时更新token并进行爆破操作,其中爬虫是我个人重点推荐的,操作简单效率极高,burp相对会繁琐一些。
第三周作业 token爆破 (基于pikachu平台)burp token的暴力破解
weixin_43899561的博客
03-24 3335
一、什么是token? 简单的说token是由服务端生成的一串字符串,作为客户端向服务端请求的一个标识。在前端使用用户名/密码向服务端发送请求认证,服务端认证成功,那么在服务端会会返回token给前端,前端在每次请求时会上服务端发来的token来证明自己的合法性。 二、用burp进行暴力破解 首先打开pikahcu平台暴力破解下的token防暴力破解,随意输入账户和密码让burp抓到post请求...
使用burp插件实现图片验证码识别
HRay's blog
03-24 8176
早上看到朋友圈有人转了一个新的识别图片验证码burp插件,项目主页https://github.com/f0ng/captcha-killer-modified 正好之前对类似插件的使用效果不理想,于是使用了一下,整体来说,captcha-killer-modified与captcha-killer相同,都是结合第三方的ocr识别接口来识别图片验证码,但是这个项目里提到了一个免费的ocr识别项目ddddocr(项目地址https://github.com/sml2h3/ddddocr),确实好用,本文记
burp实现rsa加密+图片验证码识别
qq_40685200的博客
04-01 1898
burp
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
yaoguangyang05的博客
02-16 1万+
Burpsuite验证码识别插件 “captcha-killer-modified“ 使用教程(详细)
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
利用Burpsuite爆破Tomcat密码1
08-03
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
一款简单验证码爆破工具-codex验证码后台爆破辅助工具V2.1
siu~
10-23 1395
工具作用很直白就是用来爆破后台的,支持`简单图形验证码(英数识别)`,也支持无验证码爆破,不过我一般拿来爆破验证码的后台,无验证码的直接用`BP`爆破就行
全网最详细的burp验证码爆破
kukudeshuo的博客
01-12 1万+
全网最详细的burp验证码爆破 前言 昨天也是做CTF题目的时候碰到了一道验证码爆破的题目,想了想这么久了,一直都听说过有这么个东西,但是一直没有去实现,因为在现实生活中可能一般验证码的可能密码输错几次就被锁定了, 但是这个实现的过程真的是踩了很多很多的坑,网上所有的教程用的最多的就是使用captcha-killer这个插件,但是这个插件我是研究了两天也没有研究出来是怎么用的(可能是我太菜了),所以这里使用另外一款插件。 爆破过程 可以看到这里是已经将账号告诉你了,但是不知道密码,并且验证码会一直变
burpsuite验证码爆破教程
Javachichi的博客
04-08 3623
6、填写验证码识别接口,这里有百度的可以用,但是有次数限制,需要修改为自己的token,不推荐,但是如果想使用,只需要在接口的大框框里右键--模板库--百度,点击,就会自动填充百度ocr的模板。此时需要观察我们intruder页面的数据包的cookie是否和我们验证码插件所在页面的数据包的cookie一样,需要以插件页面的cookie为准。3、添加变量,对要爆破的地方和验证码的地方添加变量,我这里假设爆破密码,所以需要对密码所在的值和验证码的值添加变量。工欲善其事必先利其器。
【web安全】验证码识别-burp的captcha-killer-modified插件教程(基于百度接口)(总结一些坑)
2302_79590880的博客
12-31 3383
爆破中的验证码识别
Codex验证码后台爆破V2.1-install-package
m0_72481041的博客
10-03 298
Codex验证码后台爆破V2.1-install-package。
全网最新、最详细的使用burpsuite验证码识别绕过爆破教程(2023最新)
热门推荐
qq1140037586的博客
12-27 1万+
最近一直在研究绕过验证码进行爆破的方法,在这里对自己这段时间以来的收获进行一下分享。在这里要分享的绕过验证码爆破的方法一共有2个,分为**免费版本**(如果验证码比较奇怪可能会有识别错误的情况)和**付费版本**(调用收费接口,所以很精准),下面针对两种不同的版本分别做分享
全网最简单的 burp 验证码识别爆破
最新发布
安于心,修于形
01-03 1469
点击网页当中的验证码-抓包-将包发送给插件captcha-killer-modified。变量2-选择通过扩展生成-扩展选中captcha-killer-modified-OK。添加-文件选择插件captcha-killer-modified-点击下一个。模板库选择ddddocr-修改端口与python当中的保持一致-点击识别。攻击类型选择Pitchfork,将变量1,2分别设置为密码和验证码。选中识别出的验证码,并将其标记为识别结果。返回验证码即证明插件安装成功。点击识别成功匹配出验证码
burpsuite爆破验证码
09-20
burpsuite是一款功能强大的渗透测试工具,可以用于爆破验证码。根据提供的引用内容,有两个版本的captcha-killer插件可以用于burpsuite的验证码爆破。对于burp2020后的版本,可以使用https://github.com/Ta0ing/captcha-killer-java8进行安装。而对于burp2020前的版本,可以使用https://github.com/c0ny1/captcha-killer/tree/0.1.2进行安装。安装插件后,您可以通过代理访问目标网站的登录界面,在代理中找到相关选项,进行验证码爆破操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值