在web安全测试中。我们通常会采用暴力破解的手段登录网站后台。但是很多的站点支持验证码,所以常规的暴力破解已经无法使用。哪么怎样暴力破解含有验证码的站点呢?
分析请求数据
接下来,我们先在burp中抓包分析,当输入账号和密码等信息后,请求数据是怎样的。
从提交后,我们发现了下面信息token__=0f9eac190dbfa3afbd13223195f5ccec&username=admin&password=123456&captcha=dvm5
有username
(用户名)password
(密码)captcha
(验证码)这三个重要的字段组成。
利用Pkav HTTP Fuzzer破解含有验证码的登录
Pkav HTTP Fuzzer
是一款经典验证码暴力破解工具。接下来我们来看看如何使用。首先运行后效果如下:
接下来,将burpsuite抓取的数据包中全部的请求内容复制到Pkav HTTP Fuzzer工具中
接下来,我们需要复制图形验证码的地址,到分析地址栏中。
点击下方的验证码识别,输入验证码地址。根据自己的实际情况进行简单的调整。使识别率最高就行。
添加标记
这里和burp中破解是一个道理,我们需要对用户名、密码、验证码添加标记。
接下来,我们给标记添加外部字典就行了。
点击发包器破解
总结
- 经测试,对纯数字验证码的识别率最高,字母和数字组合较低。
- 给验证码添加背景干扰后,识别率大大降低。
- 对于网站开发者或站长来说,建议开启验证码的难度。防止暴力破解过程中,对验证码的识别。
2 comments
网站的SSL证书好像是寄了
没有啊