Pikachu暴力破解——验证码绕过（on client）

 

验证码绕过（on client）的暴力破解

验证码输入正确、为空、输入错误页面如下：

 

 

 

 

 

 什么都不输入或只输入用户名和密码点击登录，页面弹出“请输入验证码！”的提示框，而不是用户名和密码不存在

 

 我们查看源码，输入的验证码在本地验证，我们可以在burp suite不输入验证码或者输入错的验证码完成爆破

 

 burp suite抓包，删除验证码，发送到intruder模块

 

 选择爆破位置以及攻击方式

 

 设置payloads

 

 

 

 开始攻击

 

 成功~~~