首页 > 其他 > 详细

验证码绕过(on server) 和验证码绕过(on client)

时间:2020-06-20 20:41:36      阅读:108      评论:0      收藏:0      [点我收藏+]

一:验证码绕过(on server)
1.保持bp的抓包状态,随便输入账号和密码,先不输入验证码。

技术分享图片
2.打开bp,右击选择send to repeater,把请求发送到 repeater

3.打开Repeater,点击GO,观察状态。
技术分享图片
4.这时,右侧会显示验证码不能为空,因为此前没有输入验证码
技术分享图片
5.如果随便输入一个验证码,此时显示验证码错误!
技术分享图片
6.然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!
技术分享图片
7.然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!步骤和基于表单的暴力破解是一样。将Proxy中抓到的,右击发送到Intruder,然后添加账户和密码变量,放入字典。

二:验证码绕过(on client)
1.保持bp的抓包状态,在pikachu平台中随便输入账号和密码,并输入正确的验证码,不然不能提交。这是与上一个验证通过不同的地方。
技术分享图片
2.打开bp之后,会显示抓包成功
3.右击把请求发送到Repeater,点击GO观察右边,显示账户或密码错误!
技术分享图片
4.把验证码删除或者修改再点击GO,也是显示的账号或密码错误!这样就可以确认验证码虽然提交了,但后台却没有进行验证!
技术分享图片
5.接下来同样进行将Proxy中抓到的,右击发送到Intruder,然后添加账户和密码变量,放入字典。

总结:(on server)后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!
(on client)后台没有进行验证提交的验证码是否正确!

验证码绕过(on server) 和验证码绕过(on client)

原文:https://www.cnblogs.com/ruoxi/p/13164359.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!