Pikachu靶场：暴力破解之验证码绕过(on server)

最新推荐文章于 2025-05-29 20:30:49 发布

原创最新推荐文章于 2025-05-29 20:30:49 发布 · 4.9k 阅读

19 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#信息安全

Pikachu靶场实战专栏收录该内容

17 篇文章

订阅专栏

本文介绍了在Pikachu靶场中进行暴力破解验证码的实验，包括实验环境、原理和步骤。首先，通过BurpSuite的Repeater验证验证码有效性，发现验证码长时间有效。接着，利用Intruder进行暴力破解，通过调整username和password的字典，最终根据返回响应的长度判断破解结果。实验揭示了验证码设计不当可能导致的安全隐患。

Pikachu靶场：暴力破解之验证码绕过(on server)

实验环境以及工具

Firefox浏览器、Burp Suite、Pikachu靶场

实验原理

验证码用来防止登录暴力破解、防止机器恶意注册。具体是利用验证码影响如Burp Suite这类软件进行攻击。

验证码在后台不过期，导致可以长期被使用;

验证码校验不严格，逻辑出现问题;

验证码设计的太过简单和有规律，容易被猜解

实验步骤

1.前期工作

先将Proxy中的intercept关闭，使其不进行拦截，让数据通过监听的端口。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d9lj8DCd-1617606741393)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210404141348698.png)]$

输入正确用户名和密码，输入正确验证码弹出login success

空输入，直接点Login，弹出用户名不能为空

任意输入用户名和密码，不输入验证码，弹出验证码不能为空

任意输入用户名和密码，输入错误验证码，弹出验证码错误

任意输入用户名和密码，输入正确验证码弹出username or password is not exists～

最后在页面上敲出正确的验证码，任意输入用户名和密码，使其正常发出一个POST请求，然后在Burp Suite中将其发送到Repeater里。
$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z3TY6OqY-1617606741394)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405103316347.png)]$

2.使用Repeater测试验证码是否有效

将验证码部分删掉或乱写，若是能够正常的返回用户名不存在之类的就证明验证码无效，若返回验证码不能为空或验证码错误，则证明验证码有效。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vhL75N0C-1617606741396)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405103957021.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sSBlDTEQ-1617606741398)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405104411116.png)]$

这时我们输入正确的验证码，输入错误的用户名和密码，多次提交，看验证码是否有生存期。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y8RVhpWp-1617606741400)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405104815788.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7JVhD6HJ-1617606741402)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405104954816.png)]$

说明这个验证码不是一码一用，甚至不点击刷新这个验证码，它就能一直用，生存期非常长。那么我们只需要固定验证码这个字符串，替换账号和密码就可以进行暴力破解。我们将Proxy里HTTP history的一个POST请求发送到Intruder里。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KpydG0S6-1617606741403)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405105317482.png)]$

3.利用Intruder进行暴力破解

进入Positions，选择Cluster Bomb模块，将多余的变量删除，留下username和password两个变量，并且保证验证码字段与目标页面上的验证码一致。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bchs2LE8-1617606741403)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405105644924.png)]$

在Payloads选项里找到Payload Sets，在Payload set里有两个选项，因为有两个变量。这里先设置变量1的字典。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k5AJHcz4-1617606741404)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210404194032608.png)]$

在Payload type里选择Runtime file

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IHsVfZg2-1617606741404)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210404194045218.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0A3swmVl-1617606741405)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210404194251650.png)]$

同样方法配置好变量2

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-reY07C1K-1617606741405)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210404194333086.png)]$

然后点击Start attack进行攻击，然后单击length进行排序可以看到一个长度比较小的，因为密码错误（username or password is not exists～）和密码正确（login success）所弹出的字符串长度不一样，所以可以根据返回页面的长度来判断是否成功。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cpREhHVq-1617606741406)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210405105905851.png)]$

总结

将Proxy的Intercept拦截关闭后，通过手动访问目标网页，然后提交表单后，在Proxy的HTTP history中找到最新的POST请求，将其发送到Repeater里进行发包和分析，发现位于后端的验证码生存期过长，并不能影响Burp Suite进行发包。那么将POST请求包发送到Intruder中，将对应的验证码设置好进行破解即可。