一、表单提交
思路:随便输入用户名和密码,然后进行抓包然后放到攻击者去攻击,根据返回的信息,判断哪个是正确的账号密码。
【答疑】
问:代理正常但是pikachu抓不到包
答:要用局域网访问pikachu eg:172.22.23.108/pikachu-master
问:intruder
答:1. Sniper(狙击手)
添加了一个参数,且假设payload有500个,那么就会执行500次。 添加了两个参数,就会挨着来,第一个参数开始爆破时,第二个不变,如此这样,会进行500+500此 总共1000次爆破。
2. Battering ram(攻城锤)
但参数情况下,与Sniper一样。两个参数时,和sniper模式不同的地方在于,同样情况下,攻击次数减半,每次两个位置用同样的密码。
3. Pitchfork(草叉模式)可以多组密码本payload,又于battering ram相同的地方在于,一一对应。 dict1:1,2 dict2:3,4 第一次爆破为1,3,第二次爆破为2,4 如果两个payload行数不一致的话,取最小值进行测试。
4. Cluster bomb(集束炸弹)多个密码本对应多个位置,交叉组合,每一个密码本里的密码都对应于另一密码本所有密码。即dict1的第一个密码和dict2的每个密码进行组合爆破。(排列组合的问题)
添加字典文件的方式是按照攻击位置的顺序一个一个添加的
注意: 用指定文件攻击的话,要放到burp的目录下,不然他会说文件不存在
二、验证码跳过(on server)
验证码在服务器上:会经过后端的数据库校验
这个登陆的校验过程是先校验验证码,再校验账号和密码
要看验证码是否可以为空、验证码是否会过期
一开始的思路:验证码必然不为空,我可不可以改 vcode不为空,不过没有找到相对应表示方法,然后就没然后了
后来的思路:用之前用过的验证码去重复,总会轮到他