皮卡丘靶场速通——暴力破解
2026/7/8 8:01:04 网站建设 项目流程

前言

这几天期末周了 不想复习就部署了皮卡丘靶场 复习累了就做做靶场的题放松了

基于表单的暴力破解

一个登录页面有用户名和密码

右上角有提示(表单)一个一个手输也可以qwq

我是用的bp抓包爆破的

下面是过程

使用列表 方式 导入提示的表单

验证码绕过(on server)

服务器后台是不刷新验证码的,所以抓到包后不要放包,这样验证码就一直有效,把包发到攻击模块直接爆破

和上一个一样就开始手动输一遍验证码然后爆破就行

验证码绕过(on client)

这个验证码是在前端验证的 啥用没有

我们在重放器中尝试

更改验证码发现仍可以进行登录操作

直接爆破就行

token防爆破?

每次登录后服务器发回来的包token就会发生变化

就需要更改爆破的设置了

重放器中查找可以发现token的位置

更改爆破设置

可以把第一次爆破的数据多改改(我当时初始payload的值没调好 就多试了几次)

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询