on server
一 打开burp suite,抓包状态,随便输入账号和密码,验证码先不用输入,点击login
二 打开burp suite,右击选择send to repeater,把请求发送到 repeater
三 把验证码清空,然后打开Repeater,点击GO(验证码选向是vcode)
四 查看response里面的raw源代码可以看见验证码不可以为空
五 我们随便输入一个验证码,此时显示验证码错误!
六 然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,然后我们要解决的就是暴力破解了。
七 暴力破解的详细内容请看https://www.cnblogs.com/renletao/p/13092635.html这里我们要注意两个变量是账号和密码,验证码选向(vcode选向)输入pikachu平台中的正确的验证码不要改变。
on client
一 打开burp suite,抓包状态,随便输入账号和密码,验证码先不用输入,点击login
二 打开burp suite,右击选择send to repeater,把请求发送到 repeater
三 删除或者修改验证码,会发现点击go显示账户或密码错误。
出现这个现象是因为验证码虽然提交了,但后台却没有进行验证!接下来暴力破解。
四 暴力破解步骤都一样,我们都是优秀的人,我想不需要解释了,这里变量两个是账号两个是账号和密码,验证码不需要管。(如果小伙伴压力太大忘记了暴力破解步骤请看https://www.cnblogs.com/renletao/p/13092635.html)