使用Pkav-HTTP-Fuzzer爆破网站账户密码
识别绕过简单验证码进行爆破
先用burp抓取登录包,将内容复制到请求包部分
添加密码标记,添加验证码标记
对j_password参数的值进行md5解密,解密结果为123{admin}
按照对应密码格式"密码{用户名}"生成一个字典
在变体设置中添加相应密码字典,并选择规则类型为变体哈希-MD5 32位
添加验证码地址进行识别测试,可以通过f12获得验证码的获取地址。
在重放选项中,设置HTTP重定向为无条件跟踪重定向,选上自动跟踪302重定向
在重试规则中,添加字符串匹配
如:验证码错误
设置线程,在发包器中开始爆破