web攻击与防御技术-平台搭建与暴力破解
2024-08-30 19:57:01
平台搭建是首先安装xampp并把pikachu的压缩文件解压在HTdocs下
然后
点击后显示
安装成功
首先随便输入一些东西
然后用burpsuite抓包
对username和password字段进行add进行爆破
找到了一个非等长包
成功爆破,密码123456
验证码绕过(server)
发现这个验证码抓包之后重新发包是可以通过验证码验证的。所以抓包后经过改包就可以获得密码
验证码绕过客户端
发现他是依靠本地的JS实现的
验证的时候也是在本地执行。
所以验证码对于数据包来讲无关紧要只要能绕过就行。
爆破成功
token防爆破
找到了TOKEN的位置
对第二个PAYLOAD进行设置
爆破成功
最新文章
- <;四>;JDBC_PreparedStatement的使用
- .NET C# 将 mdb 中数据读为 list<;string[]>; 其中 path 为数据库地址 ,sql 为查询语句
- 利用反射模拟一个spring的内部工作原理
- POSIX, Bash, GPL etc
- 【wikioi】1040 统计单词个数
- 对抗静态分析——so文件的加密
- OC 复合 组装电脑
- 【CodeForces 625C】K-special Tables
- 开通了cnblogs
- http cookies
- HDU1009
- 第三百三十四天 how can I 坚持
- [Swift]LeetCode863. 二叉树中所有距离为 K 的结点 | All Nodes Distance K in Binary Tree
- (error) LOADING Redis is loading the dataset in memory
- php扩展Redis功能
- ERROR 2002 (HY000): Can&#39;t connect to local MySQL server through socket &#39;/var/lib/mysql/mysql.sock&#39; (2) 的解决办法
- ASP.NET MVC+JQueryEasyUI1.4+ADO.NET Demo
- 使用ServiceBroker自动激活模拟";秒杀";场景
- thinkPHP使用函数时字符串中不能含有管道符”|“,否则报错;
- 关于Hibernate的一个简单小程序
热门文章
- PyCharm设置Python版本,你肯定不知道!
- ARTS-S golang定义类
- 最高分辨率行间转移CCD图像传感器 - KAI-47051 演示视频
- springboot自动装配(3)---条件注解@Conditional
- 一次使用pip后的总结
- 2019年Dubbo你掌握的如何?快看看这30道高频面试题!
- python学习-excel读取
- WC集训DAY2笔记 组合计数 part.1
- CMU-14445 数据库原理 汇总
- [ASP.NET Core 3框架揭秘] 依赖注入[10]:与第三方依赖注入框架的适配