Pikachu靶场暴力破解 – 作者:wakemeup

继DVWA靶场之后，开始新篇章Pikachu靶场

暴力破解：

通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。就是猜口令，攻击者一直枚举进行请求，通过对比数据包的长度可以很好的判断是否爆破成功，因为爆破成功和失败的长度是不一样的，所以可以很好的判断是否爆破成功。
初始界面：

基于表单的暴力破解

开启代理，使用burpsuite抓包

选择攻击方式，导入字典
简单讲一下攻击方式的选择：

Sinper：一个变量设置一个payload进行攻击（单点攻击）
Battering ram：可以设置两个变量，把payload同时给两个变量
Pitchfork：两个变量分别设置payload，然后按顺序一一对应进行破解（类似映射）
Cluster bomb：两个变量分别设置payload，然后交叉组合所有情况进行破解

点击length,对比
点击response,查看爆破的结果
login success

验证码绕过(on server)

先抓包看看
发送到repeater中修改参数，看看变化

发现漏洞所在：更改password后发包，可以看到验证码更新了，但是上一次的验证码依然可以重复利用，既然如此，也就可以直接爆破了
看一下结果
个人感觉，直接点击response,再点render是最方便的

验证码绕过(on client)

同样地，先抓包看看
发送到repeater,改参数看看变化
改了password,没有修改验证码，但是并没有报验证码错误，直接爆破试一试
查看结果：

同样地，还是验证码重复利用（绕过验证码，常用的还有一种方式，删除验证码传参）
试一试删除验证码传参
初始状态的包：
删除验证码参数：
还是现在repeater中修改参数，看看效果
（此时的数据包中已经不提交验证码这个参数了，其次修改了password，在response中并未提示验证码错误，所以说明存在验证码绕过）
下面就是发到intruder中爆破了
爆破成功：

token防爆破?

抓包看看：

可以看到，变化就是验证码没了，新增了一个token参数
发送到intruder中

token变量设置递归搜索：
设置 Options，Request Engine 的线程设置为 1 ，同时需要设置 Grep – Extract ，点击 Add ，在弹出的页面点击 Refetch response ，将其中 token 的值选中，便会自动选择范围；Redirections 选择Always；在Payloads中的“Initial payload for first request”添加初始值。
查看结果：

总结

总结一下暴力破解中需要注意的问题：

1.不存在验证码的情况下，抓包看看，如果username和password都是明文，直接爆破就可；
如果username和password经过加密，要先确定加密算法，然后对字典做同样的加密，再爆破

2.存在验证码的情况，抓包后在repeater中修改参数，看看是否验证码可以绕过（绕过的方法我目前接触的就是2种情况，一个验证码多次有效或者删除传递验证码的参数

3.存在tonken验证，爆破时将token变量设置递归搜索

来源：freebuf.com 2021-07-23 11:56:36 by: wakemeup