验证码绕过

on server
一 打开burp suite,抓包状态,随便输入账号和密码,验证码先不用输入,点击login


二 打开burp suite,右击选择send to repeater,把请求发送到 repeater


三 把验证码清空,然后打开Repeater,点击GO(验证码选向是vcode)


四 查看response里面的raw源代码可以看见验证码不可以为空


五 我们随便输入一个验证码,此时显示验证码错误!

六 然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,然后我们要解决的就是暴力破解了。

暴力破解的详细内容请看https://www.cnblogs.com/renletao/p/13092635.html这里我们要注意两个变量是账号和密码,验证码选向(vcode选向)输入pikachu平台中的正确的验证码不要改变。

on client

一 打开burp suite,抓包状态,随便输入账号和密码,验证码先不用输入,点击login


二 打开burp suite,右击选择send to repeater,把请求发送到 repeater


三 删除或者修改验证码,会发现点击go显示账户或密码错误。

出现这个现象是因为验证码虽然提交了,但后台却没有进行验证!接下来暴力破解。
四 暴力破解步骤都一样,我们都是优秀的人,我想不需要解释了,这里变量两个是账号两个是账号和密码,验证码不需要管。(如果小伙伴压力太大忘记了暴力破解步骤请看https://www.cnblogs.com/renletao/p/13092635.html)

posted @ 2020-06-16 18:54  renletao  阅读(981)  评论(0编辑  收藏  举报