pikachu靶场的爆破破解模块分为4种。他们分别是:
- 基于表单的暴力破解
- 验证码绕过(on server)
- 验证码绕过(on client)
- token防爆破
接下来我们要用到的工具是burpsuit,有关于这个工具的下载跟使用我们在这里不多提,不是很了解的小伙伴请自行百度。
一.基于表单的暴力破解
首先我们看到这个页面让我们输入用户名跟密码,那么在爆破管理后台的时候,Windows下最常用的用户名一般就是admin,Linux下是root,然后我们用户名密码都是admin试一下。
提示我们用户名或者密码不存在,那么使用burp抓包看下。
我们在最下面可以看到这样的一个post请求,然后单击鼠标右键我们将其发送到burp的Intruder模块或者按快捷键Ctrl+L。
清除变量,添加password变量,然后选择payload。
load添