pikachu靶场-验证码

先打开靶场，然后打开你的十米大砍刀burp，再把浏览器代理给配置好，开搞

1、先随便输入帐号和密码，用burp抓包

 

2、burp抓到包后用快捷键ctrl+l打开Intruder

 

3、确定

 

4、选择cluster bomb攻击方式，然后把原来的&删除掉，再把账号和密码add&

5、分别上传账号和密码的字典

（1）账号

（2）密码

 

 

6、

 

先把Grep-Match中的内容clear掉，然后再添加username or pasword is not exists，方便后面辨别正确的账号和密码

7、点确定

 

 

 

 

8、结果出来了，可以通过辨别字符的不同来确定正确的账号和密码

9、输入一下，确定成功