暴力破解的绕过和防范(on client)---验证码绕过

暴力破解的绕过和防范(on client)—验证码绕过(本文仅供技术学习与分享)

验证码

全自动区分计算机和人类的图灵测试, (CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)

验证码的作用

  1. 防止暴力破解
  2. 防止机器恶意注册

实验环境

皮卡丘靶场-暴力破解-验证码绕过(on client)

实验步骤

  1. 输入错误的用户名和密码,但是不输入验证码,查看提示
    在这里插入图片描述提示显示必须输入验证码;

  2. 输入错误的验证码,会先提示验证码错误:
    在这里插入图片描述因此可以推测,一定要输入正确的验证码才能匹配用户名和密码;

  3. 输入错误的用户名和密码,但是输入正确的验证码,查看提示
    在这里插入图片描述验证码正确,但是用户名和密码错误;

  4. 验证码每次都会改变,因此无法对验证码进行暴力破解。

  5. 查看页面源码,发现验证码设置在前端。验证码做在前端很容易被绕过;
    在这里插入图片描述

  6. 使用Burpsuite抓包,并将数据包发送到repeater模块, 可以自定义修改参数;
    在这里插入图片描述

  7. 为了确认验证码是否有效,可以手动修改验证码,再发送,查看提示,用户名和密码不存在,但是并没有提示错误的验证码,说明验证码匹配不在后端服务器;
    在这里插入图片描述在这里插入图片描述

  8. 把该数据包发送到Intrude里面,并在用户名和密码栏add §,验证码可以忽略,添加字典后进行爆破
    在这里插入图片描述在这里插入图片描述在这里插入图片描述

版权声明:本文为Ethan024原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。