web攻击与防御技术-平台搭建与暴力破解

平台搭建是首先安装xampp并把pikachu的压缩文件解压在HTdocs下

然后

 

 

 

 

点击后显示

 

 安装成功

 

首先随便输入一些东西

 

 然后用burpsuite抓包

 

 对username和password字段进行add进行爆破

 

 找到了一个非等长包

 

 成功爆破，密码123456

验证码绕过（server）

发现这个验证码抓包之后重新发包是可以通过验证码验证的。所以抓包后经过改包就可以获得密码

 

 

验证码绕过客户端

 

 发现他是依靠本地的JS实现的

 

 验证的时候也是在本地执行。

所以验证码对于数据包来讲无关紧要只要能绕过就行。

 

 

爆破成功

token防爆破

 

 找到了TOKEN的位置

 

对第二个PAYLOAD进行设置

 

 爆破成功