,回到浏览器,点击验证码图片
,可以看到 HTTP 抓包测试工具中抓取到一个数据包:
,等待页面自动跳转 HTTP 重放页面后,点击
按钮,可以得到返回数据是一个图片的验证码-->点击右侧“页面浏览”可以看到返回的数据是一个验证码图片。为了方便后续文中使用暂时把抓取到的数据包称之为“验证码请求数据包”。
按钮,放掉刚刚拦截的验证码数据包,然后再次点击
按钮,回到浏览器,点击登录按钮后抓包此次数据,将此次数据发送到HTTP模糊测试工具中进行账号和密码有效性验证:
- 处理方式:因为是字符串分割开,所以选择变体值字符串分割。
- 使用如下字符串分割原始数据:选择被分割的字符串,这里是“-----”。
- 提取分割后的第N块数据:选择分割后需要的部分,这里选择 1。
页面,单击右键插入变量,插入验证码识别变量绑定名称。
页面,点击测试配置:
自定义流程页面-->发包后流程-->新建。
- 对象类型:因为需要提取响应后的数据,所以选择模糊测试响应数据。
- 对象属性:因为需要提取内容,所以选择 HTTP 响应 Body。
- 判断方法:因为需要包含指定的内容,所以选择包含字符串。
- 特征数据:填写需要匹配的特征数据,这是为字符串“验证码”。
- 匹配位置:匹配内容应该是响应数据,所以选择 HTTP 响应 Body。
- 匹配类型:根据匹配内容中的文字选择,所以应该选择包含字符串。
- 匹配规则:填写对应的特征数据,这里应该为字符串“登录成功”。
,可以查看发包的验证码图片和识别的验证码字符串:
:
注意:工具使用内容请以最新版本为主。
原文始发于微信公众号(无糖反网络犯罪研究中心):TangGo | 模糊测试工具-混合型数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论