重现皮卡丘课程的实验过程(作业)
2019-03-17 20:46
85 查看
实验一 基于表单的暴力破解
先对表单进行抓包,并发送至测试器
因为其账号密码都不知道,所以我们需要用到的攻击手段为集束炸弹
为了提高破解速度,我将线程调到了15,这里我要说一下,线程默认为5,这个虽然稳定,但是破解实在是太慢了,笔者实在是等不起,线程15是我目前感觉比较稳定并且能得到一定程度的速度提升。如果大于15,有可能或出现多种长度的值,有兴趣可以将线程该为999(最大值)试试//坏笑
破解过程如下
很明显,我们得到了一组返回值长度不同于其他的账号密码,那么这个有可能就是正确的,接下来,我们试一下
nice,我们成功了,忽然有一种莫名的自豪感。
实验二 验证码绕过
验证码绕过分为两种,一种是那种用前端写出来的验证码,另一种是用php后台写出来的验证码,前者在我们看来,是毫无用处的,就相当于给用户的一种障眼法,可以直接利用burpsuite进行破解。后者这就没有那么容易了,但是有的网站安全意识不高,验证码不会过期,,那么我们可以重复使用一个验证码进行暴力破解。
很明显,用前端写出来的验证码是无效的,那么我们可以直接进行操作。同上
我们再来看看用php后台写出来的验证码
很明显,错误的验证码已经发现了。那么我们来测试一下是否他会过期
这是我输入正确的验证码截取到的包,那么我随机更改了密码,再次发送,发现仍然提示用户名密码不存在,而不是验证码错误,那么,我么可以确定他不会过期,我们就可以对其惊醒暴力破解了!!!
相关文章推荐
- Linux内核分析课程实验三:跟踪分析Linux内核的启动过程
- PHP课程第一次实验作业提交
- 皮卡丘实验(老师给的作业,皮卡丘也是老师自己搞的)
- Pikachu实验过程重现
- 作业——在线学习Android课程之第十二周(内存、视图、电量优化)
- 使用ICTCLA api进行中文分词实验的过程备忘
- 软件过程与项目管理(第三周作业)
- CS231n课程作业(一) SVM classifier
- linux运维实战练习-2016年3月4日-3月19日课程作业
- opengl实验3的作业答案
- 实验与作业(Python)-04 数据类型、数学函数与字符串
- 算法分析与设计课程作业第十九周#1
- Stanford coursera Andrew Ng 机器学习课程编程作业(Exercise 1)
- 作业真的成功了吗?_链接服务器远程存储过程调用失败
- 吴恩达深度学习课程deeplearning.ai课程作业:Class 4 Week 1 Convolution model - Application
- 网络安全管理技术作业-SNMP实验报告
- 西南科技大学 Oracle 数据库实验3 存储过程
- 【课程说明】上机实验环境配置 CodeBlocks + 文本编辑器sublime text 2
- C++第二次实验-作业报告