原题链接:
http://lab1.xseclab.com/vcode2_a6e6bac0b47c8187b09deb20babc0e85/index.php
1 看到提示,先进入buro suite中尝试
先开启代理
2 进入burp后将抓到的报放入repeater中查看结果
3 结果显示验证码错误
4 尝试把验证码删除,再发送
发现报错为密码错误,根据题目提示得出结论:验证一次后验证码失效,当这第一次验证码失效后等同与没有验证码
5 将其放入intercapt中
6 将原来验证码删除,并只对密码进行爆破
7 修改payloads里的参数,设置爆破对象为数字型,从999开始到9999(因为题目提示密码是是4位纯数字数,第一位不为0 )步数为1
8 此处为此选项控制攻击能够发出的并发请求数。
把原来的5改成10,以提高性能
若想深入了解Burp Suite中Intruder模块的使用,转到
https://blog.csdn.net/weixin_44037296/article/details/102781785
9 设置好这一切时,提示发生错误burpsuite出现Payload set 1: Invalid number settings
解决方法
如果点击start attrack 后出现 Payload set 1: Invalid number settings 的提示,先点hex 后点 decimal 再开始start attrack,这是一个软件bug,需要手动让它刷新。
10点击attach开始爆破,此处响应长度不同,确认密码为1228