渗透测试适可而止,本文章仅用于学习记录,切勿用于非法用途,一切后果与本人无关
修改cookie绕过验证码
测试的是某学校的管理系统
这里当尝试三次错误后,就会出现验证码
分析一波,要不就是检测ip,要不就是检测cookie,这时我们就可以尝试修改cookie,来看看,结果验证码成功绕过
修改cookie后验证码没有弹出,这时我们可以尝试爆破密码【经过前期信息搜集,用户名为职工号】
跑包的时候,这里选中两个参数一个是cookie,另外一个是密码,我们可以挑中cookie中的几位进行该变,通过python生成一万个五位随机字符串,使用burp进行跑包,但是看了下抓的包,这里好像无法进行跑包,只能自己编写脚本进行跑包了,返回状态为302跳转则说明密码正确。
这里由于是自己学校,就不进行瞎测试,免得受处分。
无验证码爆破漏洞
这里找到一个 某培训机构的官网,我们输入某用户电话,然后获取验证码,通过burp进行爆破
这是一个四位数验证码所以很容易爆破出来
成功登录