Pikachu靶场暴力破解通关

字典获取

BP四种攻击模式

一、Sniper(狙击手模式)

二、Battering ram(攻城锤模式)

三、Pitchfork(叉子模式)

四、Cluster bomb(炸弹模式)

靶场练习

基于表单的暴力破解

验证码绕过(on server)

验证码绕过(on client)

token防爆破?

字典获取

在github里找到心仪的字典之后，拿字典的名字到gitee上搜索和下载

BP四种攻击模式

一、Sniper(狙击手模式)

将bp截的包各个用$$符号标记的数据进行逐个遍历替换

假设确定了两个位置A和B，然后密码包payload里有两个密码1、2，那么攻击模式如下：

一次只会对一个位置进行攻击

Attack No.	Position A	Position B
0	1	null
1	2	null
2	null	1
3	null	2

二、Battering ram(攻城锤模式)

于sniper模式不同的地方在于，同样情况下，攻击次数减半，每次两个位置用同样的密码，如表：

Attack No.	Position A	Position B
0	1	1
1	2	2

三、Pitchfork(叉子模式)

多组密码本payload，一一对应，现在添加包含3、4的密码本payload，暴力破解过程如表：

Attack No.	Position A	Position B
0	1	3
1	2	4

pl1：1，2
pl2：3，4
那么第一爆破为 1，3
而二次爆破为2，4

四、Cluster bomb(炸弹模式)

跟叉子模式相似的是多个密码本对应多个位置，不同的是不再是一一对应，而是交叉组合，每一个密码本里的密码都对应于另一密码本所有密码，如表：

Attack No.	Position A	Position B
0	1	3
1	2	3
2	1	4
3	2	4

靶场练习

基于表单的暴力破解

勾选爆破点

选择simple list并load字典文件

length排序后发现爆破成功

这里一共发了18(3*6)个请求，因为我们使用的是3*6的密码本且选择了Cluster bomb(炸弹模式)

验证码绕过(on server)

源码

if (strtolower($_POST['vcode']) != strtolower($_SESSION['vcode'])) {
$html .= "<p class='notice'>验证码输入错误哦！</p>";
//应该在验证完成后,销毁该$_SESSION['vcode']
}else{
$username = $_POST['username'];
$password = $_POST['password'];
$vcode = $_POST['vcode'];
$sql = "select * from users where username=? and password=md5(?)";
$line_pre = $link->prepare($sql);
$line_pre->bind_param('ss',$username,$password);
if($line_pre->execute()){
$line_pre->store_result();
//虽然前面做了为空判断,但最后,却没有验证验证码!!!
if($line_pre->num_rows()==1){
$html.='<p> login success</p>';
}else{
$html.= '<p> username or password is not exists～</p>';
}

用户名和密码输入错误值，当验证码是错误值时，返回提示验证码错误。用户名和密码输入错误值，当验证码是正确值时，返回提示用户名或密码不存在。并且每次提交都会自动刷新验证码，那有没有可能，我只要不在网页上点Login，不刷新网页，网页当前显示的验证码就一直有效呢？

可以看到验证码在判断完之后不会销毁，而是在页面刷新之后验证码才会刷新
只要我使用bp的重放攻击，页面是不会刷新的，那样就可以重复利用该验证码
验证码不用设置payload点，与当前页面显示的相同即可

依旧选择 Cluster bomb(炸弹模式)，共发送5*6=30个包

跑出来两个账号

验证码绕过(on client)

用户名和密码输入错误值，当验证码是正确值时，返回提示用户名或密码不存在。用户名和密码输入错误值，当验证码是错误值时，有弹框提示验证码错误。验证码错误时有弹框这点，怀疑用户名和密码是在后端验证的，但验证码是在前端验证的。查看网页源代码，发现果然前端有检验验证码的js脚本，到目前为止一切就清楚啦，既然是前端检测，那直接用burpsuite发请求报文绕过前端就可以了。

这里输入的验证码要跟图片的一样，先过了前端检测才能抓到数据包，不然前端验证码检测没过他会弹窗，导致数据包无法抓取，也就不能暴力破解
抓取到数据包之后，故意将验证码随意修改，反正发到后端也不会检测

token防爆破?

服务器新增检测条件token，客户端每次访问都必须带着服务器下发的token，否则登录失败。

发现response中网页源代码有一个type为hidden，name为token的input标签，value和request报文的token不一样，应该是下一个报文的token。根据以上结果，下一次request需要携带的token就是上一次response中html代码中的隐藏字段值，也就是说request中的token是可以从上一个response中提取的。

第三个payload type设置为Recursive grep