标签：grep pikachu 验证码 密码 token 爆破 暴力破解 payload

一、表单爆破

1.打开firefox、burp等软件，设置好代理，抓到post

 

 2.针对post进行修改

 

 3.设置好密码本

 4.很快得到密码

 二、验证码绕过

1.查询到响应包中提示用户名或者密码错误，未提示验证码错误，尝试几次发现都是相同情况，说明验证码没有进行时效性验证，可重复提交使用。

 2.于是修改密码的值进行爆破

 3.成功绕过。

三、on client验证码绕过

1.先随便输一个看看结果

 

 发现修改密码没有任何影响，说明验证码是在客户端上验证的，于是接下来对用户名和密码爆破

2.成功

 四、token防爆破

1.先输一下看看结果

2.token在hidden里面，在options里选择grep extra，add token

 

 

3.返回payloads栏，payload 1 设置密码字典，payload 2 选择payload type为“Recursive grep”，然后选择下面的extract grep项即可。 然后<Start attack>

 

 出现结果。

标签：grep,pikachu,验证码,密码,token,爆破,暴力破解,payload
来源： https://www.cnblogs.com/p201721420016/p/11866625.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。