burp暴力破解基于Token的表单
2023-04-18 15:35:09 时间
打开平台pikachu,点击token方爆破选项。
随便输入账号和密码,并且用burp
抓包。
我们利用以前破解的方式进行破解,提示如下!
username=6666&password=666666&token=679625cb843f4ba37e630426334&submit=Login
我们发现多了一个字段token=679625cb843f4ba37e630426334
,抱着试一试的心态,我们按照原来的方式破解。
很遗憾,并没有跑出密码。
我们按F12
审查元素
表单中有一个hidden项,里面存的就是token。
- 开启burpsuite代理,抓取数据包。
- 将请求包转送到
Intruder
(在内容处右键菜单中可以看到)。 - Attack type选择Pitchfork。将
passwod
和user_token
设置攻击位置(attack position)
在options
栏找到Grep - Extract
,点击Add。
点击Refetch response,进行一个请求,即可看到响应报文,直接选取需要提取的字符串,上面的会自动填入数据的起始和结束标识。
点击“OK”返回,可以在列表中看到一个grep
项。
返回payloads栏,payload 1 设置密码字典,payload 2 选择payload type为“Recursive grep”,然后选择下面的extract grep项即可。 然后<Start attack>
点击Start attack开始攻击,攻击成功 666666.png
burp下载 https://bbskali.cn/forum.php?mod=viewthread&tid=1646
版权属于:逍遥子大表哥
本文链接:https://blog.bbskali.cn/1071.html
按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。
相关文章
- ChatGPT相关技术必读论文100篇(2.27日起,几乎每天更新)
- 滑动窗口算法
- iHRM项目实战
- 提高代码质量需要看哪些书?
- Flask实现用户登录注册(附前后端源码)
- c盘扩容(实操)
- Git代码提交规范
- Python-pptx Shapes
- 【蓝桥杯嵌入式】ADC模数转换的原理图解析与代码实现(以第十一届省赛为例)——STM32G4
- 计算机毕业设计之 [含论文+答辩PPT+任务书+中期检查表+源码等]S2SH洋酒销售系统[包运行成功]
- 面试官:关于CPU你了解多少?
- Hyperopt调参,返回值注意事项(坑),为什么num_leaves和max_depth会显示0?Python
- 【SSM】Spring对IoC的实现方式DI详讲
- HDFS黑名单退役服务器
- SpringBoot教程(十六) | SpringBoot集成swagger(全网最全)
- 接口测试之jmeter不同线程组之间的参数共享
- 被骗进一个很隐蔽的外包公司,入职一个月才发现,已经有了社保记录,简历污了,以后面试有影响吗?...
- 【YOLOv8/YOLOv7/YOLOv5/YOLOv4/Faster-rcnn系列算法改进NO.59】引入ASPP模块
- 实验 程序流程控制
- django中常见的查询方式