Pikachu靶场 验证码绕过(on server)

发布时间:2023年12月29日

先使用bp进行抓包,发现这个数据包是一个post请求的数据包,将这个数据包放到Repeater模块

将验证码的位置(也就是vcode的位置)设置为空,发现界面会显示验证码不能为空

此时输入错误的验证码,会提示验证码错误

当输入正确的验证码的时候会显示username or password is not exists,可以判断后台会对验证码进行校验。此时对账号密码进行修改之后,会发现验证码依然不变,说明一个验证码可以重复利用

此时将数据包发到Intruder模块,设置账号和密码进行爆破,根据长度进行排序找到正确的账号密码

?输入正确的账号密码,登录成功。

文章来源:https://blog.csdn.net/hjhwdwdw/article/details/135210749
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。