先使用bp进行抓包,发现这个数据包是一个post请求的数据包,将这个数据包放到Repeater模块
将验证码的位置(也就是vcode的位置)设置为空,发现界面会显示验证码不能为空
此时输入错误的验证码,会提示验证码错误
当输入正确的验证码的时候会显示username or password is not exists,可以判断后台会对验证码进行校验。此时对账号密码进行修改之后,会发现验证码依然不变,说明一个验证码可以重复利用
此时将数据包发到Intruder模块,设置账号和密码进行爆破,根据长度进行排序找到正确的账号密码
?输入正确的账号密码,登录成功。