这次爆破出来的后台带有滑块验证码,后台登陆页面如下:
本来想用pkavhttp那个工具爆破一波,尝试了一下,实在不好用,然后仔细研究了一下burp的宏模块,教程如下:
1.发起请求,抓包查看提交的参数,发现有verify参数,也就是说这个参数是后端校验的。
到网页源码里搜索这个参数,发现这个参数就在已经加载好的后台登陆页面的源码里。
于是,我们可以编写宏规则,来绕过这个验证码进行暴力破解。我用的是汉化版本,可以对照位置找相应的模块设置就行。
这选项卡最后一项,点击添加,然后再选中源码内有验证码的url。之后编辑另外一个界面。
点击项目设置,点击添加。
参数名称设置跟提交的参数名一样,比如我要爆破的参数是:verify 双击需要提取的字符串,会自定填写规则。点击ok。
然后宏规则已经写好了,接下来,添加启用规则。
范围自己设置一下,不回的话,可以参照我的,把参数名改一下。
点击ok,完成。之后在测试器和重发器内就可以实现自动填充verify参数了。填充字典尽情爆破。
