绕过服务器ip频繁访问的限制

在一次测试当中，我找到了一个登录接口。burpsuite抓取数据包后，发现该接口的账号密码是明文的，且不存在验证码。

这么好的条件，此时不爆更待何时？

发送到intruder模块后，服务端返回“登录次数过于频繁”。

我先修改的用户名，返回“过于频繁”，说明不是对用户名的爆破次数进行限制，那就有办法绕过。

因为不需要验证码，我先将Cookie删除了，还是返回“过于频繁”。

又将UA删除，还是不行。

更换IP后，能够继续爆破。

对于这种情况，有两种选择，一种是代理池，一劳永逸，用完就换。这里不做过多赘述。

另一种方式要看服务端是依靠什么方式获取的客户端IP。

常见的获取IP的字段：

X-Originating-IP: 127.0.0.1X-Remote-IP: 127.0.0.1X-Client-IP: 127.0.0.1X-Forwarded-For: 127.0.0.1X-Forwared-Host: 127.0.0.1X-Host: 127.0.0.1X-Custom-IP-Authorization: 127.0.0.1

最长使用的是X-Forwarded-For

尝试后发现确实是，服务端正常返回用户名或密码错误。

成功绕过。接下来就是批量爆破。

在intruder模块，选择Pitchfork

第一个参数，设置数字即可，不需要保证必须符合ip地址的要求

第二个参数填写爆破的密码

成功爆破，最后通过注册接口寻找存在的用户名，接着跑常见密码字典，成功进入后台。

原文始发于微信公众号（进击的HACK）：绕过服务器ip频繁访问的限制