Pikachu暴力破解——验证码绕过(on client)

 

验证码绕过(on client)的暴力破解

验证码输入正确、为空、输入错误页面如下:

 

 

 

 

 

 什么都不输入或只输入用户名和密码点击登录,页面弹出“请输入验证码!”的提示框,而不是用户名和密码不存在

 

 我们查看源码,输入的验证码在本地验证,我们可以在burp suite不输入验证码或者输入错的验证码完成爆破

 

 burp suite抓包,删除验证码,发送到intruder模块

 

 选择爆破位置以及攻击方式

 

 设置payloads

 

 

 

 开始攻击

 

 成功~~~

posted @ 2020-03-30 15:09  ApricityJ  阅读(715)  评论(0编辑  收藏  举报