类似前言的fei话
众所周知,burpsuite可以使用爆破模块,但是有的登录接口是需要用到验证码验证的,那么这个时候我们就可以用到一个插件来自动识别验证码,然后在爆破模块中调用,实现验证码绕过
正文
举例子,像这种站
弱密码爆破也是一个可行的思路,但是关键就在于,他有验证码,怎么办呢
我们知道,你访问网站后,网站让你去请求了一个图片验证码,然后在你登录发送了数据包后,拿你传入的验证码的值和你请求的值进行校验
这种类型的站,你只需要重新获取一次图片验证码,就可以用重新获取的这个验证码来登录了
先下载插件captcha-killer
https://github.com/c0ny1/captcha-killer/tags
下载完后,在burpuite中的Extender选项卡中,导入插件
点击Add后,找到你刚才下载的.jar文件,导入即可
(建议新建一个文件夹统一存放插件)
然后,获取验证码的url
打开burpsuite,访问这个url,抓取到这个请求验证码的包后,发送到插件去
这时插件就会接收到你发送过去的数据包,点击获取,能正常显示图片就可以了
我们在下方看到,有识别图片的地方
它可以自己导入模板,或者是用自带的几个
自带的几个中,我试了一下百度的OCR,效果不好,所以我用了图鉴
首先去http://www.ttshitu.com/register.html?spm=null中注册帐号
图鉴充值一块钱就可以识别500次了
然后回到burpsuite中,将下面这部分的内容全部删除
然后输入
代码语言:javascript复制POST /base64 HTTP/1.1
Host: api.ttshitu.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_d92eb5418ecf5150abbfe0e505020254=1585994993,1586144399; SESSION=5ebf9c31-a424-44f8-8188-62ca56de7bdf; Hm_lpvt_d92eb5418ecf5150abbfe0e505020254=1586146123
Connection: close
Content-Type: application/json; charset=UTF-8
Content-Length: 2658
{"username":"你的用户名","password":"你的密码","typeid":"1","image":"<@BASE64><@IMG_RAW></@IMG_RAW></@BASE64>"}
在接口URL处填写http://api.ttshitu.com:80
接着匹配方式选择Regular expression,匹配规则写<result>(.*)</result>
点击识别,右边就会出现正确结果了
接着我们拿去网站上试试
首先获取登录的包,丢到Intruder爆破模块去,模块选择Pitchfork
然后给password参数和captcha的值,设置为是“需要变化的”
接着,payload1选择弱密码字典
payload2选择验证码
然后这里有个误区,不是做到这一步就可以的,众所周知burpsuite支持多线程爆破
但是我们如果多线程去访问了,前一个会因为后一个的重新访问而导致失效,导致十多次里面可能只有两次是成功的,成功率很低
所以我们设置为一个线程,并且延时(也考虑到是阿里云的服务器,请求太快会banIP)
点击开始
成功
结尾
好久没更新了,想了想,这周开始应该会周更吧,当然要是有是在不知道写什么的情况就不写了哈哈哈,毕竟不想水文
这一篇主要是实际操作的时候发现还是有些问题,所以就自己写了一篇更细节的记录一下
参考资料:https://blog.csdn.net/weixin_46137328/article/details/108332805
