码迷,mamicode.com
首页 > 其他好文 > 详细

验证码绕过(on server) 和验证码绕过(on client)

时间:2020-06-20 21:44:10      阅读:123      评论:0      收藏:0      [点我收藏+]

标签:提交   图片   删除   不同   修改   pika   添加   打开   com   

一:验证码绕过(on server)
1.保持bp的抓包状态,随便输入账号和密码,先不输入验证码。

技术图片
2.打开bp,右击选择send to repeater,把请求发送到 repeater

3.打开Repeater,点击GO,观察状态。
技术图片
4.这时,右侧会显示验证码不能为空,因为此前没有输入验证码
技术图片
5.如果随便输入一个验证码,此时显示验证码错误!
技术图片
6.然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!
技术图片
7.然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!步骤和基于表单的暴力破解是一样。将Proxy中抓到的,右击发送到Intruder,然后添加账户和密码变量,放入字典。

二:验证码绕过(on client)
1.保持bp的抓包状态,在pikachu平台中随便输入账号和密码,并输入正确的验证码,不然不能提交。这是与上一个验证通过不同的地方。
技术图片
2.打开bp之后,会显示抓包成功
3.右击把请求发送到Repeater,点击GO观察右边,显示账户或密码错误!
技术图片
4.把验证码删除或者修改再点击GO,也是显示的账号或密码错误!这样就可以确认验证码虽然提交了,但后台却没有进行验证!
技术图片
5.接下来同样进行将Proxy中抓到的,右击发送到Intruder,然后添加账户和密码变量,放入字典。

总结:(on server)后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!
(on client)后台没有进行验证提交的验证码是否正确!

验证码绕过(on server) 和验证码绕过(on client)

标签:提交   图片   删除   不同   修改   pika   添加   打开   com   

原文地址:https://www.cnblogs.com/ruoxi/p/13164359.html

(1)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!