pikachu靶机-暴力破解

admin 2025年1月16日08:36:44评论6 views字数 878阅读2分55秒阅读模式

本篇文章旨在为网络安全渗透测试靶机复现教学。通过阅读本文,读者将能够对渗透pikachu靶场暴力破解模块有一定的了解

学习链接

CSDN博主:One_Blanks 
主页地址:https://blog.csdn.net/NPSM_?type=blog

一、靶机资源下载

PHPStudy:https://www.xp.cn/php-study
pikachu:https://github.com/zhuifengshaonianhanlu/pikachu

1、基于表单的密码爆破

1.1 burp抓取登录页面数据包

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.2 添加到intruder模块并删除自带参数删除

pikachu靶机-暴力破解

1.3 添加username password传参点

pikachu靶机-暴力破解

1.4 攻击类型选择Clusterbomb

pikachu靶机-暴力破解

1.5 payload设置参数表字典,开始爆破

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.6根据response响应报文长度判断是否爆破成功

点击Length进行长度排序,该长度是Response响应报文的长度,登录成功和登录失败返回的响应不同,根据这个原理进行判断,直接找返回长度不同的即可
因此得出三组密码:
admin/123456
test/abc123
pikachu/000000
pikachu靶机-暴力破解

2、验证码绕过(on server)

1.1 burp抓取登录页面数据包

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.2 将输入包发送到repeater

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.3 发送错误登录密码信息的数据包,查看返回信息

pikachu靶机-暴力破解

1.4 发送正确登录密码信息的数据包,查看返回信息

pikachu靶机-暴力破解

3、验证码绕过(on client)

1.1 burp抓取登录页面数据包

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.2 将输入包发送到repeater

pikachu靶机-暴力破解

1.3 发送错误登录密码信息的数据包,查看返回信息

pikachu靶机-暴力破解

1.4 发送删除验证码vcode参数的数据包,查看返回信息

pikachu靶机-暴力破解

4、token防爆破

1.1 burp抓取登陆页面数据包

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.2 将输入包发送到repeater

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.3 添加密码及token的参数,修改攻击类型

pikachu靶机-暴力破解
pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.4 burp配置正则重定向自动获取1.5 payload设置字典token值

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.5 payload设置字典

pikachu靶机-暴力破解
pikachu靶机-暴力破解

1.6 resource pool 设置并发请求数

pikachu靶机-暴力破解

1.7 开始爆破 爆破结果

pikachu靶机-暴力破解
pikachu靶机-暴力破解

原文始发于微信公众号(泷羽SEC-ohh):pikachu靶机-暴力破解

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月16日08:36:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   pikachu靶机-暴力破解https://cn-sec.com/archives/3634198.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息