重现皮卡丘课程的实验过程（作业）

实验一 基于表单的暴力破解

先对表单进行抓包，并发送至测试器

因为其账号密码都不知道，所以我们需要用到的攻击手段为集束炸弹

为了提高破解速度，我将线程调到了15，这里我要说一下，线程默认为5，这个虽然稳定，但是破解实在是太慢了，笔者实在是等不起，线程15是我目前感觉比较稳定并且能得到一定程度的速度提升。如果大于15，有可能或出现多种长度的值，有兴趣可以将线程该为999（最大值）试试//坏笑
破解过程如下

很明显，我们得到了一组返回值长度不同于其他的账号密码，那么这个有可能就是正确的，接下来，我们试一下

nice，我们成功了，忽然有一种莫名的自豪感。

实验二 验证码绕过
验证码绕过分为两种，一种是那种用前端写出来的验证码，另一种是用php后台写出来的验证码，前者在我们看来，是毫无用处的，就相当于给用户的一种障眼法，可以直接利用burpsuite进行破解。后者这就没有那么容易了，但是有的网站安全意识不高，验证码不会过期，，那么我们可以重复使用一个验证码进行暴力破解。

很明显，用前端写出来的验证码是无效的，那么我们可以直接进行操作。同上

我们再来看看用php后台写出来的验证码

很明显，错误的验证码已经发现了。那么我们来测试一下是否他会过期

这是我输入正确的验证码截取到的包，那么我随机更改了密码，再次发送，发现仍然提示用户名密码不存在，而不是验证码错误，那么，我么可以确定他不会过期，我们就可以对其惊醒暴力破解了！！！