Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
工具/原料
1
pikachu漏洞平台 http://www.wufumao.com/
2
burp suite
3
firefox proxy omega插件
方法/步骤
1
首先设置burp suite 代理,打开burp suite默认代理127.0.0.1:8080。
2
打开火狐浏览器,使用proxy插件进行代理设置,自己本地搭建的pikachu环境将不代理地址列表中127.0.0.1删除掉,不删除bp抓取不到访问本地的流量包,我由于打开网址中无法查看到验证码使用本地搭建的环境。
3
打开pikachu,选择暴力破解验证码绕过no server,随便输入用户名密码及验证码点击登录。
4
在burp suite截获到登录的请求的包,点击右键将请求包发送repeater。
5
点击repeater修改请求中的密码点击go发送。
6
查询到响应包中提示用户名或者密码错误,未提示验证码错误,尝试几次发现都是相同情况,说明验证码没有进行时效性验证,可重复提交使用。
7
接着我们就可以使用暴力破解表单的方法进行用户名密码猜解。
上一篇:理财要这么开始才有效!
下一篇:毕业生需要知道的金融骗局